$ loading_
提供只读式NTFS时间篡改检测,支持自动化数字取证初筛且避免证据被修改。
该 MCP 工具材料显示其为开源、无密钥、无声明远程端点的只读取证工具,整体未见明显高风险红旗。由于其具备本机代码执行能力且文档极少、社区采用度低,建议按需在受限环境中使用并自行复核实现。
材料明确标注无需密钥或环境变量,未见要求提供 API token、账号口令或其他敏感凭证,因此凭证泄露与滥用面较低。
材料标注无远程端点,README 也未显示会连接外部服务或上传数据;基于现有信息,未见明确的数据外发路径。但因文档缺失,仍应在实际部署时核对运行期网络行为。
系统客观检查项显示该工具会执行代码;这属于 MCP 工具常规能力,默认应谨慎对待。材料称其为只读检测工具,未见申请与功能明显不符的高权限系统操作描述,但仍意味着本机需运行第三方实现。
其声明功能是 NTFS 时间戳取证检测,通常需要读取本地文件系统元数据或相关证据数据;这与其用途基本一致。材料强调“read-only”和“不修改证据”,未见写入或过度授权的明确信号,但缺少 README 与权限边界细节。
正面因素是已有公开 GitHub 仓库、开源且采用 MIT 许可证,可进行源码审计。需留意的是来源为第三方注册表、社区采用度为 0 star、维护状态未知、文档缺失,降低了可验证性与成熟度,因此供应链信任度一般。
复制安装指令,让 AI 自动完成配置 · 推荐新手
"sift-mcp" 暂无可直接复制的安装信息,请查看页面文档或源码仓库。
请使用 sift-mcp 对目标 Windows 磁盘中的 NTFS 元数据进行只读检测,识别可能存在的 timestomp 痕迹,并按文件路径、异常类型和风险等级汇总结果。
输出一份按风险排序的可疑文件清单,并说明每项时间戳异常特征。
请基于 sift-mcp 对当前证据镜像执行自动化初筛,仅进行只读分析,找出疑似被篡改时间戳的文件,并生成适合交给分析师复核的摘要报告。
生成一份取证初筛报告,包含疑点摘要、重点文件和后续复核建议。
请说明使用 sift-mcp 检测 NTFS 时间篡改时,工具如何保证只读访问,并列出在不修改证据前提下可执行的检测项目。
输出只读机制说明,以及可安全执行的检测能力列表。
自动挂载磁盘镜像并完成取证分析、恶意软件扫描与法庭报告生成
用于数字取证调查,强制证据链与可验证分析,减少模型臆测风险。
通过容器化取证工具链安全执行数字取证调查与证据分析任务。
连接 Sift 欺诈检测能力,完成实时风险评分、决策与事件接入。
用于只读磁盘镜像分诊与自校验取证分析,确保过程可验证且防篡改。
让 AI 在 SANS SIFT 上自动执行磁盘、内存与 IOC 取证分析。