热门搜索:
cccs/assemblyline-service-oletools
cccs
Assemblyline服务,使用py-oletools和hachoir分析Microsoft OLE及XML文档,提取元数据、网络信息,检测宏、可疑字符串、IOC等异常,支持深度扫描和流提取。
下载次数: 0状态:社区镜像维护者:cccs仓库类型:镜像最近更新:1 个月前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Oletools 服务
此Assemblyline服务使用Python库py-oletools和hachoir提取元数据和网络信息,并报告Microsoft OLE和XML文档中的异常。
服务详情
配置参数(由管理员设置):
- MACRO_SCORE_MAX_FILE_SIZE: 如果宏部分的大小大于此值,则结果中将不标记该宏部分。(默认值:5 * 1024**2)
- MACRO_SCORE_MIN_ALERT: Chains.json包含常见的英文三字母组。我们通过这些三字母组在代码中出现的频率对宏进行评分(跳过一些常见关键字)。低于此配置值的分数表示文本更随机,而随机变量/函数名在***宏中很常见。(默认值:0.6)
- METADATA_SIZE_TO_EXTRACT: 如果OLE元数据大于此大小(以字节为单位),服务将把元数据内容提取为新文件(默认值:500)
- IOC_PATTERN_SAFELIST: 如果IOC包含列表中的某个字符串,Oletools将忽略它,除非在深度扫描模式下。(默认值:[])
- IOC_EXACT_SAFELIST: 如果IOC是列表中的某个字符串,Oletools将忽略它,除非在深度扫描模式下。(默认值:[])
执行
Oletools服务将为每个文件报告以下存在的信息:
-
独立宏:(AL TAG: technique.macro)
- 每个部分的SHA256。(AL TAG: file.ole.macro.sha256)
- 可疑字符串。(AL TAG: file.ole.macro.suspicious_strings)
- 网络指标。
-
嵌入式文档流和OLE信息:
-
名称和元数据(作者、公司、最后保存时间等)。 AL标签:
file.ole.summary.title, file.ole.summary.subject, file.ole.summary.author, file.ole.summary.comment, file.ole.summary.last_saved_by, file.ole.summary.last_printed, file.ole.summary.create_time, file.ole.summary.last_saved_time, file.ole.summary.manager, file.ole.summary.company, file.ole.summary.codepage -
CLSID(标记已知***值)。(AL TAG: file.ole.clsid)
-
-
可疑XML/OLE流特征:
- FrankenStrings IOC模式模块结果。
- Adobe Flash内容。
- Base64编码内容。
- 十六进制编码内容。
-
MSO DDE链接(AL TAG: file.ole.dde_link)
-
可能的VBA stomping。当宏转储和pcode转储之间的可疑内容存在差异时确定。
-
服务将提取:
- 所有宏内容。
- 所有pcode内容。
- 可疑OLE流和XML。
- DDE链接
-
如果在深度扫描模式下,将提取所有OLE流,并使用hachoir进行深度对象分析。
镜像变体和标签
Assemblyline服务基于https://hub.docker.com/r/cccs/assemblyline-v4-service-base%E6%9E%84%E5%BB%BA%EF%BC%8C%E8%AF%A5%E5%9F%BA%E7%A1%80%E9%95%9C%E5%83%8F%E5%9F%BA%E4%BA%8EDebian 11,包含Python 3.11。
Assemblyline服务使用以下标签定义:
| 标签类型 | 描述 | 示例标签 |
|---|---|---|
| latest | 最新构建(可能不稳定)。 | latest |
| build_type | 构建类型。dev为最新不稳定构建,stable为最新稳定构建。 | stable 或 dev |
| series | 完整构建详情,包括版本和构建类型:version.buildType。 | 4.5.stable、4.5.1.dev3 |
运行此服务
这是一个Assemblyline服务,设计用于Assemblyline框架中运行。
如果要在本地测试此服务,可以直接从shell运行Docker镜像:
docker run \ --name Oletools \ --env SERVICE_API_HOST=[***] \ --network=host \ cccs/assemblyline-service-oletools
要将此服务添加到Assemblyline部署,请遵循https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment%E3%80%82
文档
Assemblyline的通用文档可在以下地址找到:https://cybercentrecanada.github.io/assemblyline4_docs/
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 assemblyline-service-oletools 镜像标签
docker pull docker.xuanyuan.run/cccs/assemblyline-service-oletools:<标签>
DockerHub 原生拉取命令
docker pull cccs/assemblyline-service-oletools:<标签>
更多 assemblyline-service-oletools 镜像推荐
cccs/assemblyline-service-server
cccs
Assemblyline 4的服务任务分配与结果发布API
1000万+ 次下载
2 个月前更新
cccs/assemblyline-service-yara
cccs
Assemblyline 4 Yara signature and Post tag processing services
500万+ 次下载
22 天前更新
cccs/assemblyline-service-pdfid
cccs
Assemblyline 4 PDF分析服务(PDFiD)
100万+ 次下载
1 个月前更新
cccs/assemblyline-v4-service-base
cccs
Assemblyline 4的基础服务类,为相关服务提供核心功能支持。
100万+ 次下载
16 天前更新
cccs/assemblyline-service-peepdf
cccs
Assemblyline 4的PDF分析服务(PeePDF)
500万+ 次下载
1 个月前更新
cccs/assemblyline-service-extract
cccs
Assemblyline 4文件提取服务,为Assemblyline 4工作流提供文件提取功能。
500万+ 次下载
1 个月前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"