Hace poco subi a CLS un inline para Winlicense que usa esta tecnica. Aunque es un poco distinta de la usada normalmente, la idea es la misma:
1) Hacer una copia del original con extension .ext
2) Hookear CreateFile (o ZwCreateFile)
3) Cuando el proggie llama a la API, redireccionar el parametro pasado para que apunte al EXE original (el renombrado)
Asi, los CRC caen sin mucho esfuerzo, usando un inline.
El tute que hice es este:
http://ricardo.crver.net/WEB/CURSO%20NUEVO/TEORIAS%20NUMERADAS/1301-1400/1332-Tut08_Winlicense_Inline_Patching_AbarrotesPDV212_por_MCKSys.7zSaludos!
PD: Puedes usar el buscador de la web con "inline". Ahi salen varios.