https://github.com/cybercentrecanada/assemblyline-service-characterize
Assemblyline 4 metadata extraction and entropy calculation plugin
https://github.com/cybercentrecanada/assemblyline-service-characterize
assemblyline entropy lnk malware-analysis metadata-extraction shortcuts
Last synced: 3 months ago
JSON representation
Assemblyline 4 metadata extraction and entropy calculation plugin
- Host: GitHub
- URL: https://github.com/cybercentrecanada/assemblyline-service-characterize
- Owner: CybercentreCanada
- License: other
- Created: 2020-04-07T23:43:59.000Z (over 5 years ago)
- Default Branch: master
- Last Pushed: 2025-05-20T16:47:54.000Z (5 months ago)
- Last Synced: 2025-05-20T17:49:07.659Z (5 months ago)
- Topics: assemblyline, entropy, lnk, malware-analysis, metadata-extraction, shortcuts
- Language: Python
- Homepage: https://cybercentrecanada.github.io/assemblyline4_docs/
- Size: 1.26 MB
- Stars: 2
- Watchers: 1
- Forks: 2
- Open Issues: 2
-
Metadata Files:
- Readme: README.md
- Contributing: CONTRIBUTING.md
- License: LICENSE
Awesome Lists containing this project
README
[](https://discord.gg/GUAy9wErNu)
[](https://discord.gg/GUAy9wErNu)
[](https://github.com/CybercentreCanada/assemblyline)
[](https://github.com/CybercentreCanada/assemblyline-service-characterize)
[](https://github.com/CybercentreCanada/assemblyline/issues?q=is:issue+is:open+label:service-characterize)
[](./LICENSE)
# Characterize Service
This service partitions the file and calculates visual entropy for each partition.
## Service Details
This Assemblyline service extract information about the file:
* It partitions the file and calculates visual entropy for each partition.
* It runs the hachoir-metadata and exiftool commands to extract metadata information about the file.
* If the file is a Windows Shortcut, this service runs a forked version of the
[LnkParse3](https://github.com/gdesmar/LnkParse3) tool to pull out metadata information.
* If the file is a Web Shortcut, this service will parse the configuration accordingly.
## Image variants and tags
Assemblyline services are built from the [Assemblyline service base image](https://hub.docker.com/r/cccs/assemblyline-v4-service-base),
which is based on Debian 11 with Python 3.11.
Assemblyline services use the following tag definitions:
| **Tag Type** | **Description** | **Example Tag** |
| :----------: | :----------------------------------------------------------------------------------------------- | :------------------------: |
| latest | The most recent build (can be unstable). | `latest` |
| build_type | The type of build used. `dev` is the latest unstable build. `stable` is the latest stable build. | `stable` or `dev` |
| series | Complete build details, including version and build type: `version.buildType`. | `4.5.stable`, `4.5.1.dev3` |
## Running this service
This is an Assemblyline service. It is designed to run as part of the Assemblyline framework.
If you would like to test this service locally, you can run the Docker image directly from the a shell:
docker run \
--name Characterize \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-characterize
To add this service to your Assemblyline deployment, follow this
[guide](https://cybercentrecanada.github.io/assemblyline4_docs/developer_manual/services/run_your_service/#add-the-container-to-your-deployment).
## Documentation
General Assemblyline documentation can be found at: https://cybercentrecanada.github.io/assemblyline4_docs/
# Service Characterize
Ce service partitionne le fichier et calcule l'entropie visuelle pour chaque partition.
## Détails du service
Ce service d'Assemblyline extrait des informations sur le fichier :
* Il partitionne le fichier et calcule l'entropie visuelle pour chaque partition.
* Il exécute les commandes hachoir-metadata et exiftool pour extraire les métadonnées du fichier.
* Si le fichier est un raccourci Windows, ce service exécute une version dérivée de la commande [LnkParse3](https://github.com/gdesmar/LnkParse3) pour extraire des informations sur les métadonnées.
* Si le fichier est un raccourci Web, ce service analysera la configuration en conséquence.
## Variantes et étiquettes d'image
Les services d'Assemblyline sont construits à partir de l'image de base [Assemblyline service](https://hub.docker.com/r/cccs/assemblyline-v4-service-base),
qui est basée sur Debian 11 avec Python 3.11.
Les services d'Assemblyline utilisent les définitions d'étiquettes suivantes:
| **Type d'étiquette** | **Description** | **Exemple d'étiquette** |
| :------------------: | :------------------------------------------------------------------------------------------------------------- | :------------------------: |
| dernière version | La version la plus récente (peut être instable). | `latest` |
| build_type | Type de construction utilisé. `dev` est la dernière version instable. `stable` est la dernière version stable. | `stable` ou `dev` |
| série | Détails de construction complets, comprenant la version et le type de build: `version.buildType`. | `4.5.stable`, `4.5.1.dev3` |
## Exécution de ce service
Ce service est spécialement optimisé pour fonctionner dans le cadre d'un déploiement d'Assemblyline.
Si vous souhaitez tester ce service localement, vous pouvez exécuter l'image Docker directement à partir d'un terminal:
docker run \
--name Characterize \
--env SERVICE_API_HOST=http://`ip addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"`:5003 \
--network=host \
cccs/assemblyline-service-characterize
Pour ajouter ce service à votre déploiement d'Assemblyline, suivez ceci
[guide](https://cybercentrecanada.github.io/assemblyline4_docs/fr/developer_manual/services/run_your_service/#add-the-container-to-your-deployment).
## Documentation
La documentation générale sur Assemblyline peut être consultée à l'adresse suivante: https://cybercentrecanada.github.io/assemblyline4_docs/