Кстати, с помощию VirtualProtect легко обходится нашумевшая защита от исполняемого кода в стеке, названная DEP.
Насчет импорта - это совершенно верно, хотя для большинства это так и останется словами. Например большое количество "троянов" я отсеиваю обычным открытием файла в блокноте и просмотре таблицы импорта.
Насчет крипторов, к сожалению это тенденция к написанию поли-крипторов всеми, кто еще и ассемблер не освоил нормально не может не огорчать.