Народ, а вот я юзал очень простенький код который запросто обходил почти все фаеры. Все пахало на стандартном инжекте.
НО инжект происходил еще до запуска авира.
Суть метода такова:
1) Прога устанавливает себя как сервис (и написана как сервис).
2) делает зависимость Rpc от своего сервиса. Тем самым при загрузке винды менеджер сервисов выстраивает зависимости сервисов и тем самым получается что наша прога зупускается раньше всех.
3) Делается инжект в какойнить системный процес.
4) Сама протом сидит тихо в озу ничего не делая (это нужно для того чтобы Rpc не сдох), а код заинжектеный спокойно выполняет свои действия.

Метод просто, но есть одни баги: 1 и 2 шаги могут спалиться авирами.