NexusCore MCP - AI 驱动恶意软件分析平台

未分类 3 小时前 0 4

项目简介

NexusCore MCP 是先进的模型上下文协议(MCP)服务器，专为 AI 驱动的动态恶意软件分析设计。它桥接了大型语言模型与底层系统工具，使 AI Agent 能实时分析恶意软件。

核心特性

AI 集成 Claude Desktop、Cursor
Frida 绕过反调试技术
46+ 安全工具
动态内存分析
自动 YARA 规则生成

技术架构

NexusCore 采用模块化架构：AI Agent 通过 MCP 协议与 NexusCore Engine 通信，后者调用 Frida、System Forensics 和 External Tools。

部署教程

环境要求

Windows 10/11 x64
4GB+ RAM
Rust 1.70+
Visual C++ Build Tools
Python 3.8+

步骤 1: 克隆项目

git clone https://github.com/sjkim1127/NexusCore_MCP.git
cd NexusCore_MCP

步骤 2: 运行安装脚本

Set-ExecutionPolicy Bypass -Scope Process -Force
.\scripts\setup_tools.ps1

自动安装 Chocolatey、Rust、Python、Visual C++ Build Tools 和分析工具。

步骤 3: 编译项目

cargo build --release

步骤 4: 配置 Claude Desktop

编辑 %APPDATA%\Claude\claude_desktop_config.json：

{
  "mcpServers": {
    "nexuscore": {
      "command": "C:\Path\To\NexusCore_MCP\target\release\nexuscore_mcp.exe",
      "env": {
        "RUST_LOG": "info"
      }
    }
  }
}

步骤 5: 验证安装

.	arget
elease
exuscore_mcp.exe

看到 "Listening on Stdio..." 即成功。

主要工具

spawn_process - 以静默模式启动恶意软件，绕过反调试
api_monitor - 监控 Windows API 调用
capa_scan - 识别 MITRE ATT&CK 能力
dump_ssl_keys - 导出 SSL 会话密钥
die_scan - 检测壳和编译器
generate_yara - 自动生成 YARA 规则

使用示例

分析可疑文件：

用户：分析 invoice.exe

Claude：调用 die_scan → 检测为 UPX 压缩；调用 capa_scan → 检测到网络通信、注册表修改，反调试能力。结论：建议动态分析。

绕过反调试：

用户：调试时崩溃

Claude：使用 spawn_process(stealth=true) 绕过 IsDebuggerPresent() 等检测。

总结

NexusCore MCP 是强大的 AI 驱动恶意软件分析平台，适合安全研究人员、恶意软件分析师和 SOC 团队。通过与 AI 助手集成，可大幅提升分析效率。

项目地址： https://github.com/sjkim1127/NexusCore_MCP

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。