$ loading_
将常见取证命令行工具封装为 MCP,自动分析镜像、内存与流量等证据。
该工具描述为本地 MCP 服务器,封装取证命令行工具用于分析本地取证数据,未声明需要密钥或远程端点。基于现有材料,主要风险集中在本机代码执行与对本地样本/文件的读取范围,整体更接近需留意而非高风险。
材料明确写明“无”密钥/环境变量,未见要求 API key、token 或外部账户凭证;从现有信息看不存在明显的凭证收集或滥用面。
声明“远程端点 host:无”,工具定位为本地 MCP 服务器;现有材料未显示会向外部服务传输用户数据或连接第三方网络端点。
系统检查项已标记 executes-code,且描述称其封装常见取证命令行工具,意味着会在本机调用外部 CLI/进程执行分析。这属于该类 MCP 工具的常规能力,应注意仅在隔离环境中处理不受信样本。
按其功能说明,需要读取磁盘镜像、内存转储、网络抓包、SQLite 数据库、压缩包等本地取证数据,预期具备对用户指定文件的较广读取能力;材料未说明写入范围或细粒度权限控制,建议限制其工作目录与输入来源。
正面因素是开源且 MIT 许可,可进行源码审计;但来源为 third_party_registry,社区采用度仅 0 star、维护状态未知,README 也缺失,导致可验证性与成熟度有限,需先审查源码与依赖再投入敏感环境。
复制安装指令,让 AI 自动完成配置 · 推荐新手
"forensics-mcp" 暂无可直接复制的安装信息,请查看页面文档或源码仓库。
请使用 forensics-mcp 分析这份磁盘镜像,列出分区信息、可疑文件、最近修改时间线,并总结可能的取证线索。
返回磁盘结构、关键文件清单、时间线摘要与可疑迹象说明。
请用 forensics-mcp 检查这份内存转储,提取进程列表、网络连接、可疑注入痕迹,并指出需要进一步验证的项目。
输出进程与连接分析结果、异常行为提示及后续调查建议。
请使用 forensics-mcp 分析这份 pcap 文件,识别主要通信双方、异常协议、可疑文件传输,并提炼关键事件时间线。
给出通信概览、异常流量发现、可疑传输细节与事件时间线。
帮助用户对文件与浏览器痕迹做取证分析,并联动多种安全检测工具。