с системы сборкой тулз (и желательно из win pe - т.е на мертвой системе) собираются доги (тот же uvs) в помощь и анализируются. все. Искать что-то там в памяти, сравнивать с тем, что на диске и т.д - для хобби. А если никакого кодопатча и все одинаково? Просто обычный ехе-файл в папке автозагрузки, а антивирус не видит? Вот тут и нужен лог, по которому анализируешь (причем большинство белого ПО будет из лога убрано, чтоб не мешалось).
Это же понятно, зачем изобретать велосипед.