问运行时密码如何保持FUD？

EN

运行时密码器总是按照相同的原则工作:它解密其有效负载，启动处于挂起状态的进程，插入有效负载，并在假标志下恢复挂起的进程。所有这些都是在调用像CreateProcessA、ReadProcessMemory这样的Winapi函数时发生的。WriteProcessMemory等。

即使是运行时加密程序注入的恶意软件也很难被任何AV检测到(因为它正在写入RAM而不是磁盘上)：怎么可能是现代密码本身没有被AV检测到呢？我的意思是，即使我添加了大量的垃圾代码来更改签名，上述可疑函数调用仍然存在。启发式分析在技术上应该能够检测到这样的恶意软件，不是吗？