Velociraptor Forensic MCP Server

连接 Velociraptor 与本地取证工具，用自然语言执行远程调查和证据分析。

来源

third_party_registry

更新于

2026-06-22

// 安全评估需留意

正在进行安全审计…

// 安装

复制安装指令，让 AI 自动完成配置 · 推荐新手

"Velociraptor Forensic MCP Server" 暂无可直接复制的安装信息，请查看页面文档或源码仓库。

// 用法示例

远程排查可疑主机

输入

连接到 Velociraptor 实例，检查主机 WIN-023 上过去 24 小时内的异常进程、可疑网络连接和持久化机制，并用中文总结风险。

预期产出

返回主机调查结果，列出可疑行为、相关证据和风险摘要。

分析本地内存或磁盘证据

输入

使用本地取证工具分析 /cases/memdump.raw，识别可疑进程注入、恶意模块或异常连接，并给出下一步排查建议。

预期产出

输出证据分析摘要，包含发现项、可疑指标和后续调查建议。

批量搜集入侵指标

输入

在所有在线终端中搜索哈希值 44d88612fea8a8f36de82e1278abb02f、文件名 svchost32.exe 和相关注册表启动项，汇总命中结果。

预期产出

返回跨终端命中清单，标明受影响主机、证据位置和统计汇总。

该资产暂无文档说明

可前往源码仓库查看用法与示例。

连接 Velociraptor 平台执行取证调查、客户端管理与安全狩猎任务。

将常见取证命令行工具封装为 MCP，自动分析镜像、内存与流量等证据。