Generalmente los exploits, atacan algun servicio vulnerable ya sea:
Localmente
El exploit necesita llegar a la maquina a atacar en forma de (Ejecutable y/o archivo de datos) y el antivirus seria capas de detectar X o Y firma de shellcode entonces lo bloquearia
Remotamente.
El payload tiene que viajar de alguna forma para instalarse en la memoria del proceso a vulnerar, entonces si el Antivirus detecta el payload en memoria y/o en el trafico de RED entrante, tendría forma de bloquearlo.
El Ofuscar los payloads sirve para evitar esta detección.
Saludos!