Your AI Assistant in Memory Forensics
2025.04.07
11
Python内存取证安全研究开发效率
Volatility MCP是一个将Volatility 3内存分析功能与FastAPI和Model Context Protocol (MCP)集成的工具,旨在通过REST API使内存取证分析更加便捷,支持与AI助手和Web应用程序的直接交互。
View on GitHub
Overview
基本能力
产品定位
Volatility MCP是一个内存取证分析工具,通过REST API提供Volatility 3的功能,使其能够与AI助手和Web应用程序无缝集成。
核心功能
- Volatility 3集成:利用Volatility 3框架进行内存镜像分析。
- FastAPI后端:提供RESTful API与Volatility插件交互。
- Web前端支持(未来功能):设计用于与基于Web的前端交互分析。
- Model Context Protocol (MCP):支持与MCP客户端(如Claude Desktop)的标准通信。
- 插件支持:支持多种Volatility插件,如
pslist(进程列表)和netscan(网络连接分析)。
适用场景
- 内存取证分析
- 安全研究与威胁检测
- 与AI助手集成的自动化分析
工具列表
- Volatility 3:内存取证框架。
- FastAPI:提供RESTful API的后端框架。
- Claude Desktop:MCP客户端,用于与Volatility MCP交互。
常见问题解答
- 如何配置Claude Desktop作为MCP客户端? 在Claude Desktop的配置文件中添加Volatility MCP的路径和内存镜像路径。
- 如何启动FastAPI服务器?
使用命令
uvicorn volatility_fastapi_server:app启动服务器。
使用教程
使用依赖
- Python 3.7+
- Volatility 3二进制文件(需添加到环境变量
VOLATILITY_BIN)
安装教程
- 克隆仓库:
git clone <repository_url> cd <repository_directory> - 安装Python依赖:
pip install -r requirements.txt - 启动FastAPI服务器:
uvicorn volatility_fastapi_server:app - 安装并配置Claude Desktop作为MCP客户端。
调试方式
- 启动FastAPI服务器。
- 连接MCP客户端(如Claude Desktop)。
- 使用自然语言提示进行内存分析,例如“显示内存镜像中的运行进程”或“显示所有外部RFC1918连接”。