Gemfory
Так все же статик или динамика ?
Статик не выполняется эмуляция, открытых имен нет, соотв. на них не сработает эвристика. В динамике как только будет выбран первый байт с адреса апи на исполнение авер увидит вызов апи(сработает ловушка). Либо могут вставляться в тело апи шлюзы, что бы при изменении тела или его перемещении осталась апи-сигнатура.

А в общем обычно используется загрузка из памяти - образ шифрован, дешифруется после слома эмуляции.