先用Peid看一下，Peid显示是ASPack 2.12 -> Alexey Solodovnikov，看区段比一般ASPack多出个VMP0和VMP1的区段，应该是用VMProtect保护的区域了，之前没接触过VMProtect，不知道如何下手，先按普通的ASPack壳的方法试一下：
-----------------------------------------------
00524001 >  60              pushad
00524002    E8 03000000     call    0052400A                         ; ESP 定律
00524007  - E9 EB045D45     jmp     45AF44F7
0052400C    55              push    ebp
0052400D    C3              retn
------------------------------------------------
005243B0   /75 08           jnz     short 005243BA
005243B2   |B8 01000000     mov     eax, 1
005243B7   |C2 0C00         retn    0C
005243BA   \68 CBF64F00     push    004FF6CB                         ; ASCII "h釉L"
005243BF    C3              retn                                     ; 第一层壳的OEP
-------------------------------------------------
004FF6CB    68 D3D44C00     push    004CD4D3                         ; 到了第二层壳
004FF6D0    E8 D1230200     call    00521AA6
004FF6D5    2818            sub     byte ptr [eax], bl
004FF6D7    0038            add     byte ptr [eax], bh
004FF6D9    0C 8C           or      al, 8C
-------------------------------------------------

在传统OEP那里将内容DUMP出来，再用PEID核心方式查看，发现是ASPack 2.x (without poly) -> Alexey Solodovnikov，但脱到这一层实在不会脱了。。。

哪位大哥知道这种壳要怎么脱，麻烦指点一下迷津，谢谢了。。。    

第一层壳：
http://pickup.mofile.com/5959852703624879

第二层壳：
http://pickup.mofile.com/4195242466850605

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！