Perdonad mi insistencia!. Pero un antivirus que tenga encuenta las llamadas a las APIS que realizan los diferentes procesos activos en memoria, podria etiquetar a un determinado proceso como vírico si este se dedica a modificar .exe !
Antes los crypters eran solo scan-time, que hacian indetectable las firmas al analizar, pero ahora la mayoria son tambien run-time, que se encargan de eso que dices (heuristica), haz la prueba con un crypter recien modeado y veras que tu antivirus no lo detectara.