cccs/assemblyline-service-peepdf

PeePDF Service

镜像概述和主要用途

PeePDF Service 是一个基于 Assemblyline 框架的服务，它使用 Python PeePDF 库对 PDF 文件进行深度分析。该服务专为 Assemblyline 平台设计，用于提取和报告 PDF 文件的各类技术信息和潜在安全风险。

核心功能和特性

PDF 文件信息提取

• 文件哈希值：MD5、SHA1、SHA256
• 文件基本信息：大小、版本、是否为二进制(T|F)、是否线性化(T|F)
• 安全相关信息：加密算法、更新信息
• 结构信息：对象数量、流数量
• 版本信息：
  • 目录(Catalog)
  • 信息(Info)
  • 对象(Objects)
  • 流(Streams)
  • 交叉引用流(Xref streams)
  • 压缩对象(Compressed Objects)
  • 编码(Encoded)
  • 含JS代码的对象(Objects with JS code)

安全分析功能

• CVE标识符检测
• 嵌入式文件提取尝试
• JavaScript代码提取尝试
• URL检测

使用场景和适用范围

该服务适用于需要对PDF文件进行安全分析和深度检查的场景，特别适合：

• ***软件分析平台
• 威胁情报系统
• 文档安全扫描
• 数字取证调查
• 作为Assemblyline框架的一部分，与其他安全分析服务协同工作

镜像变体和标签

Assemblyline服务基于https://hub.docker.com/r/cccs/assemblyline-v4-service-base%E6%9E%84%E5%BB%BA%EF%BC%8C%E8%AF%A5%E5%9F%BA%E7%A1%80%E9%95%9C%E5%83%8F%E5%9F%BA%E4%BA%8EDebian 11并包含Python 3.11。

Assemblyline服务使用以下标签定义：

详细的使用方法和配置说明

环境要求

• 作为Assemblyline框架的一部分运行时，需符合Assemblyline平台要求
• 本地测试时需要Docker环境

本地测试部署

如果需要本地测试此服务，可以直接运行Docker镜像：

bash
docker run \
    --name PeePDF \
    --env SERVICE_API_HOST=http://$(ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"):5003 \
    --network=host \
    cccs/assemblyline-service-peepdf

环境变量说明

在Assemblyline中部署

该服务设计为Assemblyline框架的一部分运行。要将此服务添加到您的Assemblyline部署中，请遵循https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment%E3%80%82

参考文档

• https://cybercentrecanada.github.io/assemblyline4_docs/
• https://hub.docker.com/r/cccs/assemblyline-v4-service-base
• https://github.com/jesparza/peepdf