CybercentreCanada/assemblyline-service-deobfuscripter

[](https://discord.gg/GUAy9wErNu) [](https://discord.gg/GUAy9wErNu) [](https://github.com/CybercentreCanada/assemblyline) [](https://github.com/CybercentreCanada/assemblyline-service-deobfuscripter) [](https://github.com/CybercentreCanada/assemblyline/issues?q=is:issue+is:open+label:service-deobfuscripter) [](./LICENSE) # DeobfuScripter 服务 静态脚本去混淆器。其目的不是进行精确的去混淆，而是提取被混淆的 IOC。 ## 服务详情 ### 阶段 1 模块（按执行顺序）： 1. HTML 脚本提取 ### 阶段 2 模块（按执行顺序）： 1. MSOffice 嵌入式脚本 2. CHR 和 CHRB 解码 3. 字符串替换 4. Powershell 脱字符 5. 字符串数组 6. 伪数组变量 7. 字符串反转 8. B64 解码 - 此模块也可能提取文件 9. 简单 XOR 函数 10. Charcode 十六进制 11. Powershell 变量 12. MSWord 宏变量 13. 字符串拼接 14. Charcode ## 镜像变体和标签 Assemblyline 服务基于 [Assemblyline 服务基础镜像](https://hub.docker.com/r/cccs/assemblyline-v4-service-base)构建， 该基础镜像基于 Debian 11 和 Python 3.11。 Assemblyline 服务使用以下标签定义： | **标签类型** | **描述** | **标签示例** | | :----------: | :----------------------------------------------------------------------------------------------- | :------------------------: | | latest | 最新的构建版本（可能不稳定）。 | `latest` | | build_type | 所使用的构建类型。`dev` 是最新的不稳定构建。`stable` 是最新的稳定构建。 | `stable` 或 `dev` | | series | 完整的构建详情，包括版本和构建类型：`version.buildType`。 | `4.5.stable`, `4.5.1.dev3` | ## 运行此服务 这是一个 Assemblyline 服务。它被设计为 Assemblyline 框架的一部分运行。 如果您想在本地测试此服务，可以直接从终端运行 Docker 镜像： ``` docker run \ --name DeobfuScripter \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-deobfuscripter ``` 要将此服务添加到您的 Assemblyline 部署中，请遵循此 [指南](https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment)。 ## 文档 Assemblyline 的常规文档可在以下网址找到：https://cybercentrecanada.github.io/assemblyline4_docs/ # DeobfuScripter 服务 静态脚本去混淆器。其目的不是进行精确的去混淆，而是提取被混淆的 IOC。 ## 服务详情 ### 阶段 1 模块（按执行顺序）： 1. HTML 脚本提取 ### 阶段 2 模块（按执行顺序）： 1. MSOffice 嵌入式脚本 2. CHR 和 CHRB 解码 3. 字符串替换 4. Powershell 脱字符 5. 字符串数组 6. 伪数组变量 7. 字符串反转 8. B64 解码 - 此模块也可能提取文件 9. 简单 XOR 函数 10. Charcode 十六进制 11. Powershell 变量 12. MSWord 宏变量 13. 字符串拼接 14. Charcode ## 镜像变体和标签 Assemblyline 服务基于 [Assemblyline 服务](https://hub.docker.com/r/cccs/assemblyline-v4-service-base)基础镜像构建， 该基础镜像基于 Debian 11 和 Python 3.11。 Assemblyline 服务使用以下标签定义： | **标签类型** | **描述** | **标签示例** | | :------------------: | :------------------------------------------------------------------------------------------------------------- | :------------------------: | | 最新版本 | 最新的构建版本（可能不稳定）。 | `latest` | | build_type | 所使用的构建类型。`dev` 是最新的不稳定构建。`stable` 是最新的稳定构建。 | `stable` 或 `dev` | | series | 完整的构建详情，包括版本和构建类型：`version.buildType`。 | `4.5.stable`, `4.5.1.dev3` | ## 运行此服务 此服务经过特别优化，旨在作为 Assemblyline 部署的一部分运行。 如果您希望在本地测试此服务，可以直接从终端运行 Docker 镜像： ``` docker run \ --name DeobfuScripter \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-deobfuscripter ``` 要将此服务添加到您的 Assemblyline 部署中，请遵循此 [指南](https://cybercentrecanada.github.io/assemblyline4_docs/fr/developer_manual/services/run_your_service/#add-the-container-to-your-deployment)。 ## 文档 有关 Assemblyline 的常规文档，请访问：https://cybercentrecanada.github.io/assemblyline4_docs/

标签：Assemblyline, Base64解码, CCCS, Debian, DeobfuScripter, DNS 反向解析, HTML脚本提取, IOC提取, OpenCanary, PowerShell解混淆, Python, XOR解密, 云安全监控, 加拿大网络安全中心, 威胁情报, 宏病毒分析, 开发者工具, 恶意代码分析, 恶意文档, 攻击特征提取, 无后门, 沙箱服务, 网络安全, 脚本解混淆, 请求拦截, 逆向工具, 配置文件, 隐私保护, 静态分析