结贴 会脱了
单步跟踪到
0042C001    60              pushad
0042C002    E8 03000000     call vfp&exeN.0042C00A
0042C007  - E9 EB045D45     jmp 459FC4F7
0042C00C    55              push ebp
0042C00D    C3              retn
0042C00E    E8 01000000     call vfp&exeN.0042C014

第二层 很明显 aspack 直接 dump 成1.EXE
OD载入1.exe
资源 F2 F9
代码段F2 F9
单步跟 SEH处理 跟进

0041F783    8A03            mov al,byte ptr ds:[ebx]
0041F785    3007            xor byte ptr ds:[edi],al
0041F787    43              inc ebx
0041F788    47              inc edi
0041F789  ^ E2 F8           loopd X2.0041F783
0041F78B    58              pop eax
0041F78C    894424 1C       mov dword ptr ss:[esp+0x1C],eax
0041F790    61              popad
0041F791    FFE0            jmp eax

dump 修复IAT 结束

0042FB20 >  60              pushad
0042FB21    E8 01000000     call vfp&exeN.0042FB27
0042FB26    6358 E8         arpl word ptr ds:[eax-0x18],bx
0042FB29    0100            add dword ptr ds:[eax],eax
0042FB2B    0000            add byte ptr ds:[eax],al
0042FB2D    7A 58           jpe Xvfp&exeN.0042FB87
0042FB2F    2D 0D104000     sub eax,vfp&exeN.0040100D
0042FB34    8D90 C1104000   lea edx,dword ptr ds:[eax+0x4010C1]
0042FB3A    52              push edx
0042FB3B    50              push eax
0042FB3C    8D80 49104000   lea eax,dword ptr ds:[eax+0x401049]
0042FB42    5D              pop ebp
0042FB43    50              push eax
0042FB44    8D85 65104000   lea eax,dword ptr ss:[ebp+0x401065]
0042FB4A    50              push eax
0042FB4B    64:FF35 0000000>push dword ptr fs:[0]
0042FB52    64:8925 0000000>mov dword ptr fs:[0],esp
0042FB59    CC              int3
0042FB5A    90              nop
0042FB5B    64:8F05 0000000>pop dword ptr fs:[0]
0042FB62    83C4 04         add esp,0x4
0042FB65    C3              retn                                     ; F2,F9,F2,F8
0042FB66    EB 11           jmp Xvfp&exeN.0042FB79
0042FB68    59              pop ecx
0042FB69    8D9D 00104000   lea ebx,dword ptr ss:[ebp+0x401000]
0042FB6F    53              push ebx
0042FB70    5F              pop edi
0042FB71    2BFA            sub edi,edx
0042FB73    57              push edi
0042FB74    8A03            mov al,byte ptr ds:[ebx]
0042FB76    3007            xor byte ptr ds:[edi],al
0042FB78    43              inc ebx
0042FB79    47              inc edi
0042FB7A  ^ E2 F8           loopd Xvfp&exeN.0042FB74
0042FB7C    58              pop eax                                  ; F4,f8
0042FB7D    894424 1C       mov dword ptr ss:[esp+0x1C],eax
0042FB81    61              popad
0042FB82    FFE0            jmp eax
0042FB84    C3              retn

第二层ASPACK随便方法脱

0041F743    60              pushad
0041F744    E8 00000000     call vfp&exeN.0041F749
0041F749    5D              pop ebp
0041F74A    81ED 06104000   sub ebp,vfp&exeN.00401006
0041F750    8D85 56104000   lea eax,dword ptr ss:[ebp+0x401056]
0041F756    50              push eax
0041F757    64:FF35 0000000>push dword ptr fs:[0]
0041F75E    64:8925 0000000>mov dword ptr fs:[0],esp
0041F765    CC              int3
0041F766    90              nop
0041F767    64:8F05 0000000>pop dword ptr fs:[0]
0041F76E    83C4 04         add esp,0x4
0041F771    74 05           je Xvfp&exeN.0041F778
0041F773    75 03           jnz Xvfp&exeN.0041F778
0041F775    EB 07           jmp Xvfp&exeN.0041F77E
0041F777    59              pop ecx
0041F778    8D9D 00104000   lea ebx,dword ptr ss:[ebp+0x401000]
0041F77E    53              push ebx
0041F77F    5F              pop edi
0041F780    2BFA            sub edi,edx
0041F782    57              push edi
0041F783    8A03            mov al,byte ptr ds:[ebx]
0041F785    3007            xor byte ptr ds:[edi],al
0041F787    43              inc ebx
0041F788    47              inc edi
0041F789  ^ E2 F8           loopd Xvfp&exeN.0041F783
0041F78B    58              pop eax
0041F78C    894424 1C       mov dword ptr ss:[esp+0x1C],eax
0041F790    61              popad
0041F791  ^ FFE0            jmp eax                                  ; F2,F9,F2,F8