基本能力
产品定位
Volatility MCP Server 是一个内存取证工具,通过自然语言接口简化了内存取证分析的过程,使其更易于使用和自动化。
核心功能
- 自然语言内存取证:通过自然语言指令分析内存转储
- 进程分析:检查运行中的进程、父子关系和隐藏进程
- 网络取证:识别内存转储中的网络连接
- 恶意软件检测:检测潜在的代码注入和其他恶意痕迹
- DLL 分析:检查加载的 DLL 和模块
- 文件对象扫描:扫描内存中的文件对象
- 自定义插件:运行任何 Volatility 插件并自定义参数
- 内存转储发现:自动在目录中查找内存转储
适用场景
- 数字取证调查
- 网络安全事件响应
- 恶意软件分析
- 内存取证研究
工具列表
list_available_plugins- 显示所有可用的 Volatility 插件get_image_info- 提供内存转储文件的信息run_pstree- 显示进程层次结构run_pslist- 列出进程列表中的进程run_psscan- 扫描进程,包括可能隐藏的进程run_netscan- 显示内存转储中的网络连接run_malfind- 检测潜在的代码注入run_cmdline- 显示进程的命令行参数run_dlllist- 列出进程加载的 DLLrun_handles- 显示文件句柄和其他系统句柄run_filescan- 扫描内存中的文件对象run_memmap- 显示特定进程的内存映射run_custom_plugin- 运行任何 Volatility 插件并自定义参数list_memory_dumps- 在目录中查找内存转储
常见问题解答
- 路径问题:确保所有路径都是绝对路径,并在 Windows 路径中使用双反斜杠
- 权限问题:以管理员身份运行 Claude Desktop,并检查 Python 和 Volatility 目录的权限
- Volatility 错误:确保 Volatility 3 单独运行正常
- MCP 错误:检查 Claude Desktop 日志中的 MCP 错误,确保 MCP Python 包正确安装
使用教程
使用依赖
- Python 3.10 或更高版本
- Volatility 3 Framework
- Claude Desktop 或其他 MCP 兼容客户端
- MCP Python SDK (
mcp包)
安装教程
- 克隆仓库:
bash
git clone https://github.com/yourusername/volatility-mcp-server.git - 安装依赖包:
bash
pip install mcp httpx - 配置 Volatility 路径:
- 打开
volatility_mcp_server.py,更新VOLATILITY_DIR变量为 Volatility 3 安装路径 - 配置 Claude Desktop:
- 打开配置文件并添加服务器配置
- 重启 Claude Desktop 以应用更改
调试方式
- 确保所有路径正确
- 检查权限问题
- 验证 Volatility 3 单独运行正常
- 查看 Claude Desktop 日志中的 MCP 错误
