1.- El problema del hash del explorer es que el engaño de UpdateProcThreadAttribute va a hacer que explorer aparezca siempre como el verdadero padre...
2.- Si el empacador permite desempacar, ya tienen un problema.
3.- El ataque con las API de lectura y escritura sobre procesos remotos siempre va a ser posible aunque el proceso nazca como "empacado" pues al final siempre está en memoria. Dificulta algo, pero no impide nada aún ejecutándolo desde el explorer.
4.- Existen técnicas para que no se detecten los debuggers:
Windows Anti-Debug Reference
Saludos.