kyisaiah47/argus

ARGUS 通过一个专用的 MCP server 将 Claude Opus 连接到 SIFT 的 200 多种取证工具，提供具有类型检查的只读功能。该 agent 调查磁盘映像和内存捕获，使用第二个独立的工具验证每一个 HIGH/CRITICAL 发现，并生成带有完整审计追踪的结构化事件报告——所有这些都不涉及原始 shell 访问或修改证据。 ## ✨ 特性 - **交叉验证引擎** — 每一个 HIGH/CRITICAL 发现在出现在报告中之前，都会由第二个独立的工具进行验证；未经验证的发现被标记为 `UNVERIFIED`，绝不会提升为 `CONFIRMED` - **强类型只读 MCP 层** — 没有 shell 访问，没有文件写入，没有破坏性命令；从架构上杜绝了证据篡改的可能性，而不仅仅是依靠策略 - **自我纠正循环** — 最多可进行 12 次自主迭代，并将完整的逐次迭代追踪记录到 `audit/iterations.jsonl` - **MITRE ATT&CK 评分** — 通过内置的 `score_severity()` 工具，对每一个发现进行风险评分并映射到 ATT&CK 技术 - **完整审计追踪** — 每一次工具调用都会在 `audit/session_*.jsonl` 中记录时间戳和参数，并且报告中的每个发现都可以链接回其原始的 `call_id` - **双重输出格式** — 同时生成人类可读的 `.txt` 事件报告和机器可读的 `.json` 发现 + IOC 文件 ## 🎥 演示 [](https://www.youtube.com/watch?v=_S4m4CGcdis) ## 🛠️ 技术栈 SANS SIFT · Claude Opus (Anthropic API) · Model Context Protocol (MCP) · Volatility 3 · log2timeline · psort · regripper · Python 3.10+ ## 🚀 快速开始 ``` # 1. Clone 该 repo git clone https://github.com/kyisaiah47/argus.git cd argus # 2. 设置你的 API key echo "ANTHROPIC_API_KEY=sk-ant-..." > .env # 3. 运行 installer chmod +x install.sh && ./install.sh # 4. 调查一个 case source .venv/bin/activate export $(cat .env | xargs) python3 find_evil.py investigate \ --case-id ROCBA-2020 \ --case-dir cases/sample \ --memory cases/sample/Rocba-Memory.raw \ --ntuser cases/sample/artifacts/registry/NTUSER_fredr.DAT \ --software cases/sample/artifacts/registry/SOFTWARE \ --system cases/sample/artifacts/registry/SYSTEM \ --prefetch cases/sample/artifacts/prefetch \ --context "Fred Rocba case: physical break-in Nov 13 2020. Investigate for attacker tooling and data exfiltration." ``` 报告在完成后会被写入 `audit/reports/`。 完整的工具执行审计追踪会被写入 `audit/session_.jsonl`（每次工具调用对应一个 `ToolCallRecord`，包括 call_id、params、duration_ms 以及生成的发现 ID 列表）。每轮迭代的总结也会被写入 `audit/iterations.jsonl`。本仓库中的 ROCBA-2020 示例运行已提交了这两个文件。 ## 📄 许可证 本项目基于 [MIT License](LICENSE) 发布。

标签：LLM, MCP, Unmanaged PE, 安全, 库, 应急响应, 数字取证, 自动化脚本, 超时处理, 逆向工具