>>Тогда уж сразу FileMon/RegMon руссиновича.

Process Monitor включает в себя и то и то. А он уже есть. Это активный мониторинг, а пассивный это когда ты делаешь слепок реестра до запуска проги и после, а потом сравниваешь=> этот метод более тихий и удобный (хотя мб добавлять RegSnap излишне - все таки собирается самое основное).

С анпакерами вопрос решен: RL!dePacker+Quick Unpack.