Ты, вероятно, удивишься - но я очень даже в курсе. Ещё в 1989 году сам писал антивирусы (поскольку вирусы были, а найти антивирусы в бСССР было трудно в то время), и занимался защитой от отладки, и ещё массой других вещей - даже страшно вспомнить.

Безусловно. Вопрос в том, когда именно он начнёт выполняться после запуска. Представь, есть код, который после запуска тупо в цикле что-то делает (назовем это "отвлекает внимание"), и через N циклов переходит к следующему участку такого же типа. И только через X минут выполнения (в зависимости от процессора, или каких-то внешних событий - типа проверки времени etc), переходит к расшифровщику. И как ты это поймаешь без реального выполнения кода (в симуляторе или VM)?

Да - изучив вручную. Под отладчиком. Потратив на это кучу времени. С учётом того что одна и та же задача может быть выполнена бесконечным количеством вариаций машинного кода - никакой автоматический анализ, хотя бы без частичной симуляции, не даст результата - в противном случае, как я уже сказал - был бы уже создан универсальный антивирус (вот как раз в этом моменте ты постоянно себе противоречишь).

Да нууууу? Но посмотри на Xen - всё в исходных кодах. Или VirtualBox, Bochs etc - всё в открытом виде. Bluepill - пожалуйста: http://bluepillproject.org/. Подробное описание методик, сделанное микрософтом: http://research.microsoft.com/pubs/67911/subvirt.pdf.

Ты бы хоть по сети пробежался, прежде чем такие утверждения делать. Несложно это вовсе - с учётом уже имеющихся наработок. Бери, модифицируй и делай своё - никаких проблем.