В значениях регистра нет ничего, что указывало бы на вредоносность. Тебе лучше отказаться от этого. Большинство песочниц, пытающихся обнаружить вредоносное поведение, перехватывают системные вызовы / вызовы библиотек.
вызов ftable + 1 с контекстом% eax = 1% ebx = 4000% ecx = 3F также может означать стрельбу по ядерным ракетам, как это может означать «Привет, мир»
Теперь, если вы поместите свою собственную функцию между системой и исполняемым файлом, вы сможете узнать, что происходит (определить ее как вредоносную не так просто).
Это, конечно, не нуждается в эмуляторе, поэтому вам лучше пересмотреть это, так как написание точного эмулятора очень и очень сложно.