用peid查看段信息,表面看上去十分正常: 有.textbss, text, data, idata, rsrc．我还查看了它所用到的dll的信息，没有加壳，VC写的．因此可以认定是用VC写的．

EP部分的代码如下:
01. 00419066: E802000000               CALL 0041906D                     ;这里跳到第03行                  
02. 0041906B: 6650                     PUSH AX
03. 0041906D: 870424                   XCHG EAX, [ESP]                   ;从这里开始的三行，对esp进行加运算．
04. 00419070: 8D804E000000             LEA EAX, [EAX+0000004E]
05. 00419076: 870424                   XCHG EAX, [ESP]
06. 00419079: E93B000000               JMP 004190B9                      ;处理完后跳转到其它地方，在004190B9的地方，执行一句后又是一个jmp
07. 0041907E: A4                       MOVSB
08. 0041907F: 9C                       PUSHFD
09. 00419080: 8B773C                   MOV ESI, [EDI+3C]
10. 00419083: E97E0A0000               JMP 00419B06
11. 00419088: F60F                     INVALID
12. 0041908A: 8380000000E93F           ADD [EAX-17000000], 0000003F
13. 00419091: 06                       PUSH ES
14. 00419092: 0000                     ADD [EAX], AL
15. 00419094: E802000000               CALL 0041909B

这个壳最大的特征就是:
1. 壳的代码，基本上都是用jmp连接，一般是执行一句一个jmp
2. 壳对call进行过处理，每次call的前三句都是对esp进行加法运算，修改返回地址．这样使得在call的下一句下断，程序立马跑飞

大家看看这是什么壳．

[课程]Android-CTF解题方法汇总！