процессором, при этом до и после подсмотреть содержимое регистров, стека, рандомной ячейки памяти. Далее я бы исполнял следующую дизассемблированную инструкцию и снова подсматривал бы и сопоставлял бы. Где копать?
Во-первых, существуют всякие Bochs и Unicorn, которым можно подсунуть достаточно точное состояние процесса для эмуляции. Во-вторых, есть TF, странно за два года его не откопать. В-третьих, всё это фигня, все декомпиляторы рано или поздно заканчиваются микрокодом каким-нибудь публичным или кастомным IR, который уже можно оптимизировать и выполнять символьно или не очень.
Обсуждают сегодня