как без перехвата функции получить уведомление о ее запуске?

Антивирус Касперского 6.0 при вызове функции SetWindowsHookEx
сообщает о потенциально-опасном ПО типа loader, которое пытается всюду
внедрить библиотеку.
При этом он не перехватывает функцию SetWindowsHookEx.
Без Касперского
@SetWindowsHookEx = $00325120 (обычный)
@SetWindowsHookEx1 = $77D45006 (через LoadLibrary)
когда Касперского только что запустили и он матерится о том что базы
устарели итп, но еще не матерится на запуск хука
@SetWindowsHookEx = $00325120 (обычный)
@SetWindowsHookEx1= $77D45006 (через LoadLibrary)
Когда уже полностью загружен и матерится на все
@SetWindowsHookEx = $00325120
@SetWindowsHookEx1= $77D45006
Адрес функции не зависит от того запущен касперский или нет. Но зато он
разный для обычной и загруженной через LoadLibrary.
Почему и как такое происходит? Как же антивирь определяет что функция
запускается?