Hola tengo una duda acerca de la heurística de los AV, supongamos que una Aplicación "A" hace una inyeccion de una Aplicación "B", digamos que la App A no es detectada pero la App B si por los AV, en ningún momento se escribe la Aplicación "B" en el disco rígido todo se maneja en memoria, es posible que los AV detecten esto?
digamos los AV que conozco detecta un archivo malicioso antes de ejecutarse, puede ser que los detecte ejecutandose por hacer algo sospechoso?

si es así, que antivirus conocen ustedes que detecte un código malicioso en ejecución?

Saludos.

Esta bien, pero si los antivirus no detectan las Apis que estoy utilizando (digamos que utilizaria un TLB para declararlas) entonces no chillarian (Por lo menos hasta que el Cripter no sea reconocido por los AV)

Es eso afirmativo.