文章总结： 本文介绍了模型上下文协议在恶意软件分析中的应用，旨在提升逆向工程与威胁狩猎效率。文章列举了十款开源MCP工具，涵盖BinaryNinja、IDA、Ghidra等逆向软件集成，以及APK静态分析、威胁情报查询和MITREATT&CK映射工具。MCP虽能实现自动化分析并增强协作，但也存在配置复杂和资源占用高等挑战，建议分析师合理利用这些工具以优化工作流程。 综合评分： 89 文章分类： 恶意软件,逆向分析,安全工具,威胁情报

让 MCP 作为您的恶意软件分析助手

Rizqi Setyo

securitainment

2026年1月6日 18:50 广东

来源:yandex.com

什么是恶意软件分析？

恶意软件分析是网络安全领域的重要分支，主要通过分析恶意软件或危险软件样本来了解其功能、行为模式和攻击意图。恶意软件分析的主要目标包括：

• 识别和提取威胁指标 (IoC),如文件哈希值、IP 地址、域名等关键信息
• 掌握恶意软件的感染机制，获取其战术、技术和程序 (TTP) 的详细信息
• 为网络威胁情报 (CTI)、威胁狩猎 (CTH) 以及数字取证与事件响应 (DFIR) 提供支持

在恶意软件分析实践中，分析师可以采用多种技术手段，包括字符串分析、函数分析、依赖库分析、资源分析、元数据分析、配置提取、反编译、网络行为分析、活动监测等。其中，逆向工程是最复杂的分析手段之一，需要深入剖析恶意软件，从程序代码层面追踪其执行流程。常用的逆向工程工具包括 Ghidra、IDA、BinaryNinja 等专业 RE 工具。

分析过程的挑战性

作为恶意软件分析师，要熟练运用逆向工程技术，必须深入理解并掌握各类分析工具的使用方法，才能有效提取目标信息。此外，时间效率也是逆向工程面临的重要挑战。因为恶意软件分析往往是网络安全事件响应的关键环节，需要快速给出分析结论。

MCP 是什么？

模型上下文协议 (Model Context Protocol, MCP) 是一种创新解决方案，可以帮助分析师在使用多种工具进行恶意软件分析时提高效率。MCP 本质上是一种通信协议，用于连接大语言模型 (LLMs) 与外部数据、工具或系统，可以理解为 LLM 与外部资源之间的桥梁。

这里的外部资源可以是经过工具处理的数据，也可以是工具本身。从通信架构来看，MCP 采用客户端 – 服务器模型运作：

• MCP 客户端

  :学习和处理信息的 AI 模型系统，通常以 LLM 的形式存在

• MCP 服务器

  :为客户端提供数据的外部系统，可以是我们使用的各类工具或软件

来源:dida-do

MCP 在恶意软件分析中的应用

简单来说，MCP 能够帮助分析师更好地完成恶意软件分析工作。这种帮助体现在对分析工具产生的数据或信息进行深度挖掘、丰富补充和扩展延伸。在本文中，我将分享一些常用的开源 MCP 工具，这些工具在恶意软件分析中发挥着重要作用。

1. fosdickio/binary_ninja_mcp

这是一个可以连接到 BinaryNinja 的 MCP 服务器。该 MCP 能够在使用 BinaryNinja 软件进行逆向工程时提供辅助支持。您可以将其连接到 Claude Desktop、Cursor 或其他类型的 LLM 等 MCP 客户端。在我的示例中，我使用它连接 Claude Desktop 来分析恶意软件样本，通过 Claude Desktop 的聊天界面提出问题。

2. mrexodia/ida-pro-mcp

这是一个可以连接到 IDA-PRO 的 MCP 服务器。该 MCP 能够在使用 IDA-PRO 软件进行逆向工程时提供辅助支持。您可以将其连接到 Claude Desktop、Cursor 或其他类型的 LLM 等 MCP 客户端。在我的示例中，我使用它连接 Claude Desktop 来分析恶意软件样本并生成简要分析报告。

3. LaurieWired/GhidraMCP

这是一个可以连接到 Ghidra 的 MCP 服务器。该 MCP 能够在使用 Ghidra 软件进行逆向工程时提供辅助支持。您可以将其连接到 Claude Desktop、Cursor 或其他类型的 LLM 等 MCP 客户端。在我的示例中，我使用它连接 Claude Desktop 来分析恶意软件样本并生成简要分析报告。

4. cc-apk/APK-Security-Guard-MCP-Suite

该 MCP 允许您集成用于分析 Android (APK) 恶意软件的工具，如 MobSF、JADX、APKTool、JEB 和 FlowDroid。在我的示例中，我使用它集成 MobSF 并连接到 Cursor，以辅助分析 APK 恶意软件。您也可以针对 MobSF 的分析结果提出问题，进行深度分析。

5. eversinc33/TriageMCP

该 MCP 允许您使用多种集成工具对恶意软件进行静态分析，包括：

• FLARE-CAPA

  :基于 MITRE ATT&CK 和恶意软件行为目录 (MBC) 进行 TTP 特征映射

• FLARE-FLOSS

  :用于字符串提取

• UPX

  :用于解压 UPX 加壳恶意软件

• Detect-it-Easy

  :用于 PE 分析

• YARA

  :规则扫描

该 MCP 允许您通过 MCP 客户端一次性执行静态分析。在我的示例中使用的是 Claude Desktop。

6. mytechnotalent/MalwareBazaar_MCP

该 MCP 允许您基于 MalwareBazaar 资源进行恶意软件威胁狩猎。您可以通过 MCP 客户端查询近期更新的恶意软件趋势。在我的示例中使用的是 Claude Desktop。

7. jx888-max/cyber-sentinel-mcp

该 MCP 允许您基于 VirusTotal v3、AbuseIPDB、URLhaus、Shodan、ThreatFox 和 MalwareBazaar 等资源，对域名、IP 地址、恶意软件或其他 IOC 进行威胁情报分析。在本示例中，我使用 Claude Desktop 作为 MCP 客户端。

8. 4R9UN/fastmcp-threatintel

该 MCP 允许您基于 VirusTotal、OTX Alienvault、AbuseIPDB 和 IPInfo 分析 IOC。在本示例中，我尝试通过 Claude Desktop 分析域名和 IP 地址的一些 IOC。

9. stoyky/mitre-attack-mcp

该 MCP 允许您基于 MITRE ATT&CK 对 IOC 进行威胁映射分析。在本示例中，我尝试使用 MobSF 分析 APK 恶意软件，然后使用 Claude Desktop 基于 MITRE ATT&CK 映射 TTP。

10. BlackSnufkin/LitterBox

这是一种基于 Windows Sandbox 的沙箱恶意软件分析工具。您可以将该沙箱与 LLM 集成进行 MCP 通信。在本示例中，LitterBox 的作者使用基于 Claude Desktop 的 MCP 客户端进行分析。

来源:Github — BlackSnufkin/LitterBox

优缺点分析

总体而言，用于恶意软件分析的 MCP 提供了集中化的自动化、集成和协作能力，大幅提高了分析效率和一致性。但同时也存在一些挑战：

优点：

• 集中化的自动化分析流程
• 多工具集成提高工作效率
• 增强团队协作能力
• 提升分析结果的一致性

缺点：

• 需要复杂的配置和部署
• 较高的资源占用
• 需要持续维护以避免误分类
• 存在一定的安全风险

另外，如果您希望从 LLM 获得更深入的分析，可以使用专业版本，相比免费版本能够访问更高级的代理功能。

MCP as Your Malware Analysis Assistant

免责声明：本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或没有明确测试权限的系统。未经授权的使用可能违反法律和道德准则。作者对因应用所讨论概念而导致的任何误用或损害不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：securitainment Rizqi Setyo《让 MCP 作为您的恶意软件分析助手》