Extract Service (文件提取服务)

镜像概述和主要用途

Extract Service 是 Assemblyline 4 框架中的文件提取服务，用于从文件容器（如ZIP、RAR、7z等）中提取嵌入式文件。该服务能够处理多种格式的压缩文件和容器，并集成了多种提取和解析工具，支持密码破解和自动解码功能。

核心功能和特性

文件提取能力

• 使用7zip库从容器中提取文件并重新提交分析
• 使用python tnefparse库解析tnef文件
• 使用xxxswf库提取压缩的swf文件
• 使用unace提取winace压缩文件
• 使用mstools和msoff***尝试解码MSOffice文件
• 从.eml文件中提取附件
• 使用poppler-utils中的pdfdetach从pdf样本中提取附件
• 使用NSIS Reversing Suite恢复原始Setup.nsi的预览

自动解码功能

• 使用默认密码列表尝试解码（可配置）
• 支持用户提供的可选密码
• 使用.eml文件正文作为密码尝试
• 集成已归档的AutoItRipper服务功能

文件优化功能

• 文件瘦身处理：
  • Windows可执行文件：使用debloat工具和自定义脚本
  • Windows安装程序(.msi)
  • 其他文件：使用基于熵的通用计算器

处理控制

• 处理完成后，除非样本属于以下文件类型，否则会阻止样本继续流向其他服务：
  • 可执行文件
  • Java文件
  • Android/APK包
  • 文档文件（如Microsoft Office和PDF）
  • Apple/IPA包

使用场景和适用范围

该服务适用于恶意软件分析、文件安全检测和内容提取场景，特别适合：

• 从压缩文件和容器中提取潜在恶意文件
• 处理加密或密码保护的归档文件
• 分析电子邮件附件和Office文档
• 提取嵌入式文件进行深度安全分析
• 优化和瘦身大型文件以提高后续分析效率

详细的使用方法和配置说明

提交参数

管理员配置

镜像变体和标签

Assemblyline服务基于 Assemblyline service base image 构建，该基础镜像基于Debian 11和Python 3.11。

Docker部署方案

本地测试运行

docker run \
    --name Extract \
    --env SERVICE_API_HOST=[***] addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"):5003 \
    --network=host \
    cccs/assemblyline-service-extract

Docker Compose配置示例

version: '3'
services:
  extract-service:
    image: cccs/assemblyline-service-extract:stable
    container_name: assemblyline-extract
    environment:
      - SERVICE_API_HOST=[***]
    network_mode: host
    restart: unless-stopped
    volumes:
      - ./config:/etc/assemblyline

集成到Assemblyline框架

该服务是Assemblyline框架的一部分，设计为在Assemblyline环境中运行。要将此服务添加到您的Assemblyline部署，请遵循官方指南。

相关资源

• Assemblyline 官方文档
• GitHub 仓库
• Assemblyline 基础镜像