Armdadillo 5.x的吧
复制几行EP头的代码帖上来看看

终于找到了，是新版Armadillo V5.02加的壳！

新版Armadillo V5.02+IAT Elimination+ASPack 2.x双层壳笔记

新版Armadillo V5.02+IAT Elimination+ASPack 2.x双层壳笔记

一软件用PEiD查看为ASPack 2.x (without poly) -> Alexey Solodovnikov，用AspackDie脱壳失败。
习惯的打开OD载入文件，运行fly老师的Armadillo4.0-V4.44.Standard.Protection脚本，也跑飞。
看这个程序的EP，看来是伪装的，在新版本中又增加了vm,以前的脱壳方法看来有问题了。

无奈，于是开始跟踪之，开始手动脱壳。
=========================================================================================================
清除所有*.udd、*.bak临时文件。OD载入文件，停在EP入口。

00D2FDC2 >  E8 E3400000          call MQJSSV9.00D33EAA                 ; 伪装EP入口
00D2FDC7  ^ E9 16FEFFFF          jmp MQJSSV9.00D2FBE2
00D2FDCC    6A 0C                push 0C
00D2FDCE    68 B0E0D500          push MQJSSV9.00D5E0B0
00D2FDD3    E8 44150000          call MQJSSV9.00D3131C
00D2FDD8    8B4D 08              mov ecx,dword ptr ss:[ebp+8]
00D2FDDB    33FF                 xor edi,edi
00D2FDDD    3BCF                 cmp ecx,edi
00D2FDDF    76 2E                jbe short MQJSSV9.00D2FE0F