cccs/assemblyline-service-jsjaws Docker 镜像 - 轩辕镜像
cccs/assemblyline-service-jsjawsAssemblyline 4 JavaScript模拟与静态分析服务
0 次下载activecccs镜像
Jsjaws Service
镜像概述和主要用途
Jsjaws Service 是 Assemblyline 框架下的一个服务,提供 JavaScript 执行的沙箱环境,用于***代码分析、反混淆和有效载荷提取。该服务集成多种开源工具,结合动态执行与静态分析能力,支持 JavaScript ***软件的自动化检测与分析。
核心功能和特性
多工具集成
该服务整合了六个开源项目的核心组件,提供全面的 JavaScript 分析能力:
- Malware Jail:半自动化 JavaScript ***软件分析、反混淆及有效载荷提取沙箱。
- Box.js:JavaScript ***软件研究专用沙箱工具。
- JS-X-Ray:基于 SAST 扫描的静态分析工具。
- Synchrony:针对使用 obfuscator.io 混淆的 JavaScript 的反混淆工具。
- WScript Emulator:Windows Script Host (WSH) 功能模拟/跟踪工具,其库已集成到 MalwareJail 环境中。
- GootLoaderAutoJsDecode:通过静态分析自动解码 Gootloader 文件的工具。
沙箱技术
- 动态执行基于 Node VM(Node.js 内置虚拟机)实现,Box.js 额外使用修改版 VM 工具 vm2 增强安全性。
签名机制
- 主要通过
signatures文件夹中的签名规则对样本评分,支持对文件内容和沙箱输出结果进行扫描。 - 鼓励社区贡献签名规则:若发现可通过 MalwareJail 或 Box.js 输出检测的样本,可提交 PR 或共享样本以优化检测能力。
使用场景和适用范围
- JavaScript 软件分析:检测嵌入在网页、文档或独立文件中的 JavaScript。
- 反混淆研究:处理经 obfuscator.io 等工具混淆的代码,还原原始逻辑。
- 静态与动态结合分析:支持纯静态分析(JS-X-Ray、Synchrony)或动态执行(MalwareJail、Box.js)模式,适应不同分析需求。
- Assemblyline 框架集成:作为 Assemblyline 生态的一部分,用于大规模***代码自动化检测流水线。
详细配置说明
服务级参数(Service Parameters)
| 参数名 | 默认值 | 描述 |
|---|---|---|
| allow_download_from_internet | false | 是否允许从互联网下载资源(详见“互联网连接功能”部分)。 |
| max_payloads_extracted | 50 | 深度扫描关闭时,最大提取有效载荷文件数。 |
| raise_malware_jail_exc | false | MalwareJail 工具出错时是否抛出明显异常(默认静默处理,继续其他工具输出)。 |
| total_stdout_limit | *** | 分析工具输出的标准输出(stdout)行数限制。 |
| send_tool_stderr_to_pipe | false | 是否将工具的标准错误(stderr)重定向到管道(避免终端日志混乱)。 |
| max_gauntlet_runs | 30 | “Gauntlet”工具最大运行次数(防止随机生成内容导致无限循环)。 |
提交级参数(Submission Parameters)
通用参数(Generic parameters)
| 参数名 | 描述 |
|---|---|
| tool_timeout | MalwareJail 和 Box.js 的单个工具超时时间。 |
| add_supplementary | 是否在结果中添加补充文件。 |
| static_signatures | 是否对文件内容执行静态签名扫描(默认仅扫描动态执行输出)。 |
| display_sig_marks | 是否在结果中显示触发签名规则的代码行。 |
| static_analysis_only | 是否仅执行静态分析(JS-X-Ray、Synchrony),禁用动态执行(Box.js、MalwareJail)。 |
| ignore_stdout_limit | 是否忽略服务级参数 total_stdout_limit(设为"true"时忽略限制)。 |
Box.js 参数
| 参数名 | 描述 |
|---|---|
| no_shell_error | Box.js 专用标志(功能未详细说明,按需启用)。 |
MalwareJail 参数
| 参数名 | 描述 |
|---|---|
| browser | detonating 使用的浏览器类型。 |
| wscript_only | 是否仅在 WScript 环境中执行(默认在沙箱浏览器中执行)。 |
| throw_http_exc | 是否在每次网络调用时抛出错误(用于测试不同代码执行路径)。 |
| download_payload | 是否允许样本从互联网下载有效载荷。 |
| extract_function_calls | 是否提取函数调用相关文件(可能产生大量噪音,按需启用)。 |
| extract_eval_calls | 是否提取 eval 调用相关文件(可能产生大量噪音,按需启用)。 |
| log_errors | 是否在脚本异常捕获逻辑中插入异常日志(用于调试)。 |
| override_eval | 是否使用间接链接调用 eval(处理作用域变量时关键,详见 MDN 文档)。 |
| file_always_exists | 是否使 Scripting.FileSystemObject.FileExists 方法始终返回 true。 |
Synchrony 参数
| 参数名 | 描述 |
|---|---|
| enable_synchrony | 是否启用 Synchrony 反混淆(可能增加 Assemblyline 负载,仅在需要时启用)。 |
互联网连接功能
jQuery Fetching
部分样本会将代码嵌入标准 jQuery 库中。若服务容器具有互联网访问权限,可自动获取官方 jQuery 库,对比样本文件差异并提取***代码。若无互联网访问,需在 service_manifest.yml 中将 docker_config 的 allow_internet_access 设为 False。
Assemblyline 系统安全列表
al_config/system_safelist.yaml 文件包含建议的安全列表项,可通过以下方式添加到 Assemblyline 系统安全列表:
- 直接复制到管理页面
https://<Assemblyline 实例>/admin/tag_safelist的文本编辑器中。 - 通过 Assemblyline Client 工具添加。
镜像变体和标签
该镜像基于 Debian 11 + Python 3.11 的 Assemblyline 服务基础镜像 构建,标签规则如下:
| 标签类型 | 描述 | 示例标签 |
|---|---|---|
| latest | 最新构建版本(可能不稳定)。 | latest |
| build_type | 构建类型:dev(最新不稳定版)、stable(最新稳定版)。 | stable 或 dev |
| series | 完整构建信息,格式:版本.构建类型。 | 4.5.stable、4.5.1.dev3 |
使用方法
作为独立容器本地测试
bashdocker run \ --name Jsjaws \ --env SERVICE_API_HOST=[***] addr show docker0 | grep "inet " | awk '{print $2}' | cut -f1 -d"/"):5003 \ --network=host \ cccs/assemblyline-service-jsjaws
集成到 Assemblyline 框架
该服务为 Assemblyline 原生服务,需作为框架一部分运行。添加到部署的步骤详见 官方指南。
参考文档
- Assemblyline 框架官方文档:[***]
- 服务源码及详细配置:GitHub 仓库
cccs/assemblyline-service-server
by Canadian Centre for Cyber Security
Assemblyline 4的服务任务分配与结果发布API
10M+ pulls
上次更新:5 天前
cccs/assemblyline-service-yara
by Canadian Centre for Cyber Security
Assemblyline 4 Yara signature and Post tag processing services
5M+ pulls
上次更新:22 天前
cccs/assemblyline-service-pdfid
by Canadian Centre for Cyber Security
Assemblyline 4 PDF分析服务(PDFiD)
1M+ pulls
上次更新:22 天前
cccs/assemblyline-v4-service-base
by Canadian Centre for Cyber Security
Assemblyline 4的基础服务类,为相关服务提供核心功能支持。
1M+ pulls
上次更新:5 天前
cccs/assemblyline-service-peepdf
by Canadian Centre for Cyber Security
Assemblyline 4的PDF分析服务(PeePDF)
5M+ pulls
上次更新:22 天前
cccs/assemblyline-service-extract
by Canadian Centre for Cyber Security
Assemblyline 4文件提取服务,为Assemblyline 4工作流提供文件提取功能。
5M+ pulls
上次更新:22 天前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"