cccs/assemblyline-service-ancestry Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

![]([] ![]([] ![Static Badge]([] ![Static Badge]([] ![GitHub Issues or Pull Requests by label]([]

Ancestry服务（BETA版）

基于签名的Assemblyline服务，专注于文件谱系分析。

服务详情

签名

（BETA版）签名定义为服务配置，每个签名遵循以下格式：

yaml
config:
  signatures:
    exe_from_office_document: # 签名名称
      pattern: "document/office/.+,ROOT\\|executable/windows/(?:pe|dll)(?:32|64),EXTRACTED" # 正则表达式模式
      score: 1000 # 签名命中的关联分数

根据我们希望此服务具备的功能，在正式版发布时可能会有变更。

签名运行于什么之上？

签名运行于Assemblyline调度器传递给服务的临时信息。因此，目前我们决定将数据格式化为包含文件类型及其与父文件关系（如有）的对，用|连接。

例如：一个包含嵌入式PE且带有RSA证书的OneNote文件将显示为： document/office/onenote,ROOT|executable/windows/pe64,EXTRACTED|certificate/rsa,EXTRACTED

镜像变体和标签

Assemblyline服务基于Assemblyline服务基础镜像构建，该基础镜像基于Debian 11，包含Python 3.11。

Assemblyline服务使用以下标签定义：

运行此服务

这是一个Assemblyline服务，设计用于在Assemblyline框架中运行。

如果要在本地测试此服务，可以直接从shell运行Docker镜像：

bash
docker run \
    --name Ancestry \
    --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
    --network=host \
    cccs/assemblyline-service-ancestry

要将此服务添加到您的Assemblyline部署中，请遵循此指南。

文档

Assemblyline通用文档可在以下地址获取：[***]