Normalmente los joiners de las empresas grandes (el iexpresss o el de sony (no me acuerdo el nombre del joiner ahora)) son indetectados por los av. Sin embargo estos analizan mas alla del stub del joiner y pueden cazar tu server.
Ahora mi pregunta, como va eso de la inyecciones en memoria????? busque por ahi pero no encontre nada al respecto, lo más parecido es el método meepa, va bien, pero tiene sus problemas con bifrost.