前言

不得不说，这年头想找个不失活的样本越来越难了，机缘巧合之下发现了一个drop样本，并且是内置数据解密，真是难得一见的执着，就凑合着分析提升下对C#样本的分析技能点。

样本信息

MD5: 80ca7c023f86983b45096df0433a8966
SHA1: 6333e753ee7549a668b7f048646244b4151a802f
SHA256: 99a9f37b29dd440c803ea37c57a6acded495d4b49c165f66b3fbe8a427972799
CRC32: a6d3c3ea
需要的小伙伴可以根据这个hash自行搜索，也可以在附件中直接下载(解压密码 infected)。

样本分析

使用exeinfo查看文件信息发现是个C#的样本，难搞了。自己也没怎么搞过C#的样本，慢慢来吧。

首先是要准备分析工具Dnspy，github中可直接下载，这一步相对简单。

第一层数据

在资源中发现了一张png，看似有些可疑后续应该会进行数据读取操作。

加载资源段中的png图片，看样子是准备解密该数据。

png数据以被解密成一个PE文件，Dump内存数据。

同样使用exeinfo查看信息，还是为C#程序。

一样的发现含有一个资源段，只不过没有显示出数据，大小440832字节，差不多400kb左右大小。

类命名被混淆，这里发现加载资源段中的数据。

使用内置的pass来解密加载的资源数据。

双击pass即可看到内置的pass内容。

第二层数据

第二个PE文件，dump提取出来继续看。

接下来的一幕让我傻眼了，这都是啥玩意啊。

这就是为什么被命名为Matiex的原因吧，代码基本被Matiex替换。

解混淆

接着就需要借助de4dot来进行解混淆操作了，一键式傻瓜化操作，对刚接触这个软件的新手来说，非常的好用。

解混淆之后，看着就舒服多了。

Matiex键盘记录器

主要功能在Main中可以直接找到，剪切板数据记录，截屏操作和键盘记录，间隔时间每10分钟启动一次。

除此之外还有一些数据收集操作，以下列举了部分。

这里就不再多对Matiex做过多的分析了，代码被混淆的厉害，跟起来也很麻烦复杂，知道是个键盘记录器就足够了，有兴趣了解全部功能的可以继续追一追，期待各位大佬的分析，可惜没有找到对应接收数据的CC。

总结

本以为会干净利落的直接分析Matiex键盘记录器，没想到却是一个释放Matiex的drop，并且下载时发现该文件时一个rar，不难想到这可能是某些邮寄附件作为投递，可惜样本不是我捕获的，并不知道具体的攻击流程了~。

看雪学院推出的专业资质证书《看雪安卓应用安全能力认证 v1.0》（中级和高级）！