Batchdeobfuscator Service

镜像概述和主要用途

Batchdeobfuscator Service 是 Assemblyline 4 框架下的批处理文件反混淆服务，主要用于解析和解释批处理（.bat）文件，支持对混淆的批处理代码进行反混淆分析，提取关键执行逻辑和潜在恶意行为。

核心功能和特性

• 批处理文件解析：解析批处理文件的语法结构，包括变量定义（SET 命令）、条件判断（IF 语句）等核心指令。
• 反混淆增强：基于 DissectMalware/batch_deobfuscator 项目开发，针对 SET 命令和 IF 语句的解析逻辑进行了优化改进。
• 框架兼容性：作为 Assemblyline 标准服务，无缝集成 Assemblyline 恶意软件分析框架。
• 技术栈：基于 Debian 11 系统和 Python 3.11 构建，确保运行环境稳定性和兼容性。

使用场景和适用范围

• 恶意软件分析：对包含混淆逻辑的恶意批处理文件进行反混淆，揭示其真实执行流程和恶意行为。
• 安全研究：辅助安全研究人员、恶意软件分析师解析复杂批处理脚本，提取 IOC（指标 of compromise）。
• 自动化分析流水线：作为 Assemblyline 框架的组件，集成到自动化恶意软件分析流程中，提升批处理文件的分析效率。

镜像变体与标签

该服务基于 Assemblyline 服务基础镜像 构建，支持以下标签类型：

使用方法和配置说明

前提条件

• 运行环境需已安装 Docker。
• 若作为独立服务测试，需确保 Assemblyline 服务 API 可访问（默认端口 5003）。

本地测试运行

可通过 Docker 直接运行镜像进行本地测试，命令如下：

docker run \
    --name Batchdeobfuscator \
    --env SERVICE_API_HOST=[***] addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"):5003 \
    --network=host \
    cccs/assemblyline-service-batchdeobfuscator

参数说明：

• --name Batchdeobfuscator：指定容器名称。
• --env SERVICE_API_HOST：设置 Assemblyline 服务 API 地址，默认通过 docker0 网卡 IP 和端口 5003 连接。
• --network=host：使用主机网络模式，确保容器可访问 Assemblyline 服务 API。

添加到 Assemblyline 部署

如需将该服务集成到现有 Assemblyline 框架部署中，可参考官方指南：添加服务到 Assemblyline 部署。

相关文档

• Assemblyline 官方文档：[***]
• 基础镜像信息：cccs/assemblyline-v4-service-base
• 项目源码：CybercentreCanada/assemblyline-service-batchdeobfuscator

版权信息

基于 DissectMalware/batch_deobfuscator 项目开发（Copyright (c) 2018 Malwrologist）。