Un binaire suspect a été capturé sur un poste compromis. La commande strings extrait les chaînes lisibles :
$ strings malware.bin
/lib/x86_64-linux-gnu/libc.so.6
GLIBC_2.14
UH-Ph
[]A\A]A^A_
Usage: %s <key>
Connecting to C2...
HTTP/1.1 GET /beacon
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0)
Authorization: Bearer eyJhbGciOiJub25lIn0.
config_path=/etc/.hidden/.config
persistence_key=HKCU\Software\Microsoft\Windows\CurrentVersion\Run
DEBUG_FLAG=CSA{str1ngs_r3v34l_s3cr3ts}
xor_key=0xDEADBEEF
c2_server=185.220.101.47
port=4444Trouvez le flag caché parmi les chaînes extraites.
La commande `strings`
strings fichier extrait toutes les séquences de caractères imprimables (≥4 chars) d'un fichier binaire. C'est la première étape de l'analyse statique de malware. On y trouve souvent : URLs de C2, clés de chiffrement hardcodées, chemins de fichiers, messages de debug.
Connectez-vous pour sauvegarder votre score.