Assemblyline 4 File extraction service
5M+
This service extracts embedded files from file containers (like ZIP, RAR, 7z, ...).
The service uses the 7zip library to extract files out of containers then resubmits them for analysis.
It will also:
Once this service has completed its processing, it will block samples from continuing to other services unless they are identified as the following file types:
- Executables
- Java files
- Android/APK packages
- Document files (i.e. Microsoft Office and PDF)
- Apple/IPA packages
password: An additional password can be provided to the service on submission to decode a container.extract_executable_sections: Using the 7zip library, the service will extract sections from an executable file.continue_after_extract: When true, Assemblyline will continue processing all samples with other services no matter the file type.use_custom_safelisting: Use custom IPA and JAR safelisting when extracting files from those containers.score_failed_password: Score 500pts on extraction failing because of unknown password.heur_13_16_supression: Removes those heuristic from the result, reducing potential score.extraction_glob_pattern: Filters results for files matching the glob pattern. Usage of **/ at the start is recommended.default_pw_list: List of passwords used when attempting to extract from protected archives.Assemblyline services are built from the Assemblyline service base image, which is based on Debian 11 with Python 3.11.
Assemblyline services use the following tag definitions:
| Tag Type | Description | Example Tag |
|---|---|---|
| latest | The most recent build (can be unstable). | latest |
| build_type | The type of build used. dev is the latest unstable build. stable is the latest stable build. | stable or dev |
| series | Complete build details, including version and build type: version.buildType. | 4.5.stable, 4.5.1.dev3 |
This is an Assemblyline service. It is designed to run as part of the Assemblyline framework.
If you would like to test this service locally, you can run the Docker image directly from the a shell:
docker run \
--name Extract \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-extract
To add this service to your Assemblyline deployment, follow this guide.
General Assemblyline documentation can be found at: https://cybercentrecanada.github.io/assemblyline4_docs/
Ce service extrait les fichiers contenus dans d'autres archives (tel que ZIP, RAR, 7z, ...).
Ce service utilise 7zip pour extraire les fichiers des archives afin de les resoumettre pour les analyser.
Le service tente aussi les approches suivantes:
Une fois l'analyse terminée, Extract va empêcher les autres services d'analyser le fichier, à moins qu'il fasse partie d'un de ces types de fichiers:
- Exécutables
- Fichiers Java
- Applications Android/APK
- Fichier de bureautique (i.e. Microsoft Office and PDF)
- Applications Apple/IPA
password: Un mot de passe peut être spécifié par l'utilisateur de sa soumission pour extraire les archives protégées.extract_executable_sections: En utilisant 7zip, le service extraira les différentes sections des exécutables.continue_after_extract: Lorsque true, Assemblyline va continuer à analyser les fichiers avec les autres services, peu importe le type de fichier.default_pw_list: Liste de mots de passe utilisé par défaut lors de l'extraction de fichiers d'un fichier protégé.Les services d'Assemblyline sont construits à partir de l'image de base Assemblyline service, qui est basée sur Debian 11 avec Python 3.11.
Les services d'Assemblyline utilisent les définitions d'étiquettes suivantes:
| Type d'étiquette | Description | Exemple d'étiquette |
|---|---|---|
| dernière version | La version la plus récente (peut être instable). | latest |
| build_type | Type de construction utilisé. dev est la dernière version instable. stable est la dernière version stable. | stable ou dev |
| série | Détails de construction complets, comprenant la version et le type de build: version.buildType. | 4.5.stable, 4.5.1.dev3 |
Ce service est spécialement optimisé pour fonctionner dans le cadre d'un déploiement d'Assemblyline.
Si vous souhaitez tester ce service localement, vous pouvez exécuter l'image Docker directement à partir d'un terminal:
docker run \
--name Extract \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-extract
Pour ajouter ce service à votre déploiement d'Assemblyline, suivez ceci guide.
La documentation générale sur Assemblyline peut être consultée à l'adresse suivante: https://cybercentrecanada.github.io/assemblyline4_docs/
Content type
Image
Digest
sha256:f81514264…
Size
285.4 MB
Last updated
about 1 month ago
docker pull cccs/assemblyline-service-extract:stablePulls:
999
Last week