2Gar|k
ну сигнатурой можно назвать что угодно на самом деле. В классике это последовательность байт, ещё из простого считать контрольные суммы.
быстрее всего я думаю пройтись по коллам от точки входа и проверять сигнатуру (crc или байтеги), так приблизительно ида делает в случае с flirt-сигнатурами. Естественно возможны ложные срабатывания если размер сигнатуры подберешь слишком маленьким или возмешь по какимто часто встречаюшимся командам (типа стаба, etc). Тут конечно нужен дизасм, но это самый интеллектуальный подход )), если конечно нужно искать неэкспортируемую функцию в обычном исполняемом файле, для поли\метаморфного кода уже другие конечно подходы )) типа выделения паттернов, анализа кода и поведенческого анализа )) тоже в своем роде сигнатуры. Ага по байтикам кстати нужно сигнатуры брать (в случае неполиморфного кода) в районах локального максимума энтропии желательно, естественно от какихто "уникальных" данных (потипу адресов строк и тд). Впрочем все это банально и мало интересно, честно ))

2fromegg
перед тем, как будет искать твой процесс в автомате неэкспортируемый символ, тебе придется его найти руками.