Vielleicht bringt es etwas, sich die aPLib anzusehen. Die Library wird zum Beispiel von PEspin benutzt.

UPX verwendet zum Beispiel UCL.

UPX wird - wie es auf der Homepage aussieht - von einigen seriösen Softwareherstellern verwendet, während PESpin öfter im Zusammenhang mit Trojanern auftaucht.

Oder Du siehst Dir an, was ein PE Explorer ausgibt:
ZB - http://www.pe-explorer.com/ 129 $, 30 Tage Trial

Beziehungsweise siehst Du Dir die Strukture des Headers an:
http://www.delorie.com/djgpp/doc/exe/
http://www.wotsit.org/search.asp?s=EXE

oder das noch:
http://www.itee.uq.edu.au/~cristina/...is96/table.htm

Dummerweise alles in Englisch. Eine Seite in Deutsch, welche interessant war, war vermutlich nicht legal und bei ein paar txt-Dateien sprang der Virenwächter an.