Volatility MCP — это AI-ассистент для криминалистического анализа оперативной памяти, который интегрирует фреймворк Volatility 3 с AI-моделями через Model Context Protocol и FastAPI. Он позволяет специалистам по кибербезопасности исследовать дампы памяти на естественном языке, мгновенно получая списки процессов, сетевых соединений и другие криминалистические артефакты без необходимости помнить сложный синтаксис командной строки Volatility.
Ключевые особенности:
Анализ процессов на естественном языке: Позволяет через AI-ассистента запрашивать список запущенных процессов (pslist) в дампе памяти и строить древовидные графы их взаимосвязей для выявления подозрительной активности.
Исследование сетевых соединений: Предоставляет доступ к плагину netscan для отображения всех активных и завершенных сетевых подключений, включая фильтрацию по RFC1918-адресам для обнаружения подозрительных внутренних коммуникаций.
RESTful API-доступ к Volatility 3: Реализует серверную часть на FastAPI, которая оборачивает вызовы бинарного файла Volatility 3 в чистые API-эндпоинты, делая их доступными не только для AI, но и для любых веб-приложений.
Гибкая настройка и развертывание: Конфигурация MCP-клиента позволяет напрямую указывать путь к анализируемому файлу образа памяти, что упрощает запуск и интеграцию в существующие процессы расследования.
Планируемая интеграция Yara и мульти-анализ: В дорожной карте проекта заявлены функции дампа процессов для сканирования Yara-правилами на вредоносное ПО и одновременный анализ нескольких образов памяти для корреляции событий.
Для кого: Ориентирован на цифровых криминалистов, специалистов по реагированию на инциденты (DFIR), аналитиков SOC и исследователей вредоносного ПО, которым необходимо быстро извлекать и анализировать артефакты из дампов оперативной памяти, используя естественный язык вместо написания скриптов.
Сценарии использования:
Первичный триаж дампа памяти: Специалист просит AI-ассистента показать все процессы и сетевые соединения, чтобы за секунды получить общую картину состояния системы на момент снятия образа.
Обнаружение вредоносного ПО: Выявление аномальных процессов и их связей, например, через запрос на построение дерева процессов для подозрительного PID и проверку установленных им сетевых соединений.
Расследование инцидентов с утечкой данных: Быстрый поиск и анализ внешних соединений, установленных скомпрометированной машиной, через естественно-языковый запрос к netscan.
Автоматизация рутинных задач криминалиста: Делегирование AI базовых запросов к Volatility для ускорения анализа и высвобождения времени на глубокую экспертизу сложных артефактов.
Обучение и документирование: Использование AI-ассистента для формирования черновика отчета о результатах анализа памяти на основе полученных данных.
Цены и доступность: Проект является полностью бесплатным open-source инструментом, опубликованным на GitHub под лицензией MIT. Для работы требуется наличие Python и установленного Volatility 3. Платные тарифы отсутствуют, доступность не ограничена. Пользователю необходимо самостоятельно настроить серверную часть на FastAPI и подключить ее к AI-клиенту через конфигурационный файл.
