Ho cercato abbastanza in passato ma non ho mai trovato molte info sulle contromisure per i singoli antivirus, cioè dopo che modifichi abbastanza lo stub c'è praticamente sempre altro da fare per renderlo fud. A parte gli hook usermode (che boh è la prima volta che sento), hai qualche thread o parole chiave che posso cercare su questo argomento? Il posto migliore che ho trovato in passato per approfondirlo è 0x00sec o hackforums ma non c'è molto sull'argomento specifico del rendere fud uno stub. Si parla sempre di variare il codice (che poi non è che si può variare infinite volte, prima o poi finisci le idee per scrivere codice che fa sempre circa la stessa cosa) e poi di testare l'eseguibile su vari antivirus. Non saprei come proseguire una volta che scopro che ci sono ancora alcuni antivirus che lo rilevano.
La parola chiave da cercare è evasion, fare hook user-mode è la tecnica principale usata dall'euristica degli antivirus, chiaramente ognuno la usa in modo diverso e monitora API differenti. Come puoi immaginare è un compito impegnativo e a lungo termine: trovi il bypass, loro aggiornano le loro tecniche, tu ne trovi un altro e così via. Esistono tecniche per non farti trovare per più tempo possibile ma è un lavoro per professionisti del settore in quanto passare sotto i radar per anni è davvero un impresa. Tali tecniche vengono tenute riservate non tanto per gelosia ma perché se diventassero di dominio pubblico gli AV implementerebbero delle contromisure e toccherebbe trovarne altre.