NexusCore MCP - AI 驱动恶意软件分析平台
项目简介
NexusCore MCP 是先进的模型上下文协议(MCP)服务器,专为 AI 驱动的动态恶意软件分析设计。它桥接了大型语言模型与底层系统工具,使 AI Agent 能实时分析恶意软件。
核心特性
- AI 集成 Claude Desktop、Cursor
- Frida 绕过反调试技术
- 46+ 安全工具
- 动态内存分析
- 自动 YARA 规则生成
技术架构
NexusCore 采用模块化架构:AI Agent 通过 MCP 协议与 NexusCore Engine 通信,后者调用 Frida、System Forensics 和 External Tools。
部署教程
环境要求
- Windows 10/11 x64
- 4GB+ RAM
- Rust 1.70+
- Visual C++ Build Tools
- Python 3.8+
步骤 1: 克隆项目
git clone https://github.com/sjkim1127/NexusCore_MCP.git
cd NexusCore_MCP步骤 2: 运行安装脚本
Set-ExecutionPolicy Bypass -Scope Process -Force
.\scripts\setup_tools.ps1自动安装 Chocolatey、Rust、Python、Visual C++ Build Tools 和分析工具。
步骤 3: 编译项目
cargo build --release步骤 4: 配置 Claude Desktop
编辑 %APPDATA%\Claude\claude_desktop_config.json:
{
"mcpServers": {
"nexuscore": {
"command": "C:\Path\To\NexusCore_MCP\target\release\nexuscore_mcp.exe",
"env": {
"RUST_LOG": "info"
}
}
}
}步骤 5: 验证安装
. arget
elease
exuscore_mcp.exe看到 "Listening on Stdio..." 即成功。
主要工具
- spawn_process - 以静默模式启动恶意软件,绕过反调试
- api_monitor - 监控 Windows API 调用
- capa_scan - 识别 MITRE ATT&CK 能力
- dump_ssl_keys - 导出 SSL 会话密钥
- die_scan - 检测壳和编译器
- generate_yara - 自动生成 YARA 规则
使用示例
分析可疑文件:
用户:分析 invoice.exe
Claude:调用 die_scan → 检测为 UPX 压缩;调用 capa_scan → 检测到网络通信、注册表修改,反调试能力。结论:建议动态分析。
绕过反调试:
用户:调试时崩溃
Claude:使用 spawn_process(stealth=true) 绕过 IsDebuggerPresent() 等检测。
总结
NexusCore MCP 是强大的 AI 驱动恶意软件分析平台,适合安全研究人员、恶意软件分析师和 SOC 团队。通过与 AI 助手集成,可大幅提升分析效率。
项目地址: https://github.com/sjkim1127/NexusCore_MCP
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
