CybercentreCanada/assemblyline-service-pe

[](https://discord.gg/GUAy9wErNu) [](https://discord.gg/GUAy9wErNu) [](https://github.com/CybercentreCanada/assemblyline) [](https://github.com/CybercentreCanada/assemblyline-service-pe) [](https://github.com/CybercentreCanada/assemblyline[](https://discord.gg/GUAy9wErNu) [](https://discord.gg/GUAy9wErNu) [](https://github.com/CybercentreCanada/assemblyline) [](https://github.com/CybercentreCanada/assemblyline-service-pe) [](https://github.com/CybercentreCanada/assemblyline/issues?q=is:issue+is:open+label:service-pe) [](./LICENSE) # PE 服务 该服务使用 Python 库 LIEF 从 Windows PE 文件中提取属性（导入、导出、节名称等）。 这是 Assemblyline 原版 PEFile 服务的替代品。 # 依赖 本服务使用 LIEF 库。 在构建 Docker 容器时，它还会从 https://github.com/dishather/richprint/blob/master/comp_id.txt 下载最新版本的 Rich Header 编译器信息。 以及从 https://bazaar.abuse.ch/export/csv/cscb/ 获取最新版本的 MalwareBazaar 代码签名证书黑名单。 此外，它还整合了来自 https://github.com/erocarrera/pefile/tree/master/ordlookup 的 ordlookup 文件。 以及来自 https://github.com/NextronSystems/gimphash 的 C 语言静态构建版本。 后两者是在模块中静态构建的，可能需要定期更新。 ## 镜像变体和标签 Assemblyline 服务是基于 [Assemblyline 服务基础镜像](https://hub.docker.com/r/cccs/assemblyline-v4-service-base) 构建的， 该基础镜像基于 Debian 11 并使用 Python 3.11。 Assemblyline 服务使用以下标签定义： | **标签类型** | **描述** | **标签示例** | | :----------: | :----------------------------------------------------------------------------------------------- | :------------------------: | | latest | 最新的构建版本（可能不稳定）。 | `latest` | | build_type | 所使用的构建类型。`dev` 是最新的不稳定构建。`stable` 是最新的稳定构建。 | `stable` 或 `dev` | | series | 完整的构建详情，包括版本和构建类型：`version.buildType`。 | `4.5.stable`, `4.5.1.dev3` | ## 运行此服务 这是一个 Assemblyline 服务。它被设计为在 Assemblyline 框架内运行。 如果您想在本地测试此服务，可以直接在终端中运行 Docker 镜像： ``` docker run \ --name PE \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-pe ``` 要将此服务添加到您的 Assemblyline 部署中，请遵循此 [指南](https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment)。 ## 文档 有关 Assemblyline 的一般文档可以在以下网址找到：https://cybercentrecanada.github.io/assemblyline4_docs/ # Service PE 该服务使用 LIEF 库从 Windows 可执行文件中提取信息（导入、导出、节名称等）。 这是名为 PEFile 的 Assemblyline 原版服务的直接替代品。 # 依赖 本服务使用 LIEF 库。 本服务还会从 https://github.com/dishather/richprint/blob/master/comp_id.txt 下载最新版本的 `Rich Header 编译器信息`。 以及从 https://bazaar.abuse.ch/export/csv/cscb/ 获取来自 MalwareBazaar 的最新版本 `代码签名证书黑名单`。 在构建 Docker 镜像时进行。 本服务还包含来自 https://github.com/erocarrera/pefile/tree/master/ordlookup 的 ordlookup 工具文件。 以及 https://github.com/NextronSystems/gimphash 的 C 语言静态编译版本。 后两者是在模块中静态编译的，应该定期进行更新。 ## 镜像变体和标签 Assemblyline 服务是基于 [Assemblyline 服务基础镜像](https://hub.docker.com/r/cccs/assemblyline-v4-service-base) 构建的， 该基础镜像基于 Debian 11 并使用 Python 3.11。 Assemblyline 服务使用以下标签定义： | **标签类型** | **描述** | **标签示例** | | :------------------: | :------------------------------------------------------------------------------------------------------------- | :------------------------: | | 最新版本 | 最近的构建版本（可能不稳定）。 | `latest` | | build_type | 所使用的构建类型。`dev` 是最新的不稳定版本。`stable` 是最新的稳定版本。 | `stable` 或 `dev` | | 系列 | 完整的构建详情，包括版本和构建类型：`version.buildType`。 | `4.5.stable`, `4.5.1.dev3` | ## 运行此服务 本服务经过专门优化，旨在作为 Assemblyline 部署的一部分运行。 如果您希望在本地测试此服务，可以直接从终端运行 Docker 镜像： ``` docker run \ --name PE \ --env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \ --network=host \ cccs/assemblyline-service-pe ``` 要将此服务添加到您的 Assemblyline 部署中，请遵循此 [指南](https://cybercentrecanada.github.io/assemblyline4_docs/fr/developer_manual/services/run_your_service/#add-the-container-to-your-deployment)。 ## 文档 有关 Assemblyline 的一般文档可以在以下网址找到：https://cybercentrecanada.github.io/assemblyline4_docs/

标签：Assemblyline, DAST, DNS 反向解析, DNS 解析, Docker, gimphash, LIEF, MalwareBazaar, pefile, PE文件分析, Python, 二进制分析, 云安全监控, 云安全运维, 代码签名证书黑名单, 威胁情报, 安全编排与自动化, 安全辅助工具, 安全防御评估, 富头部解析, 导入导出表提取, 开发者工具, 恶意软件分析, 文件格式解析, 无后门, 特征提取, 网络信息收集, 网络安全, 节区分析, 误配置预防, 请求拦截, 逆向工具, 隐私保护, 静态分析