Антивирус работает по принципу сигнатуры (это типо пример куска функции в бинарном виде который считается опасным) теперь представь, как ты сделаешь логику автоматизации замены файлов без доступа к файлам? Половина софта считаются вирусами - потому что видимо когда то вирус какой то использовал подобную логику, вот и все.
Сделать чисто на 100% по нельзя. или заманаешься конкретно делая логику через одно место, чтобы только сигнатура была новая и никому не знакомая. Думаю суть уловил. тоесть и вирус можно написать так, что антивирусы его не запалят, тупо потому что такое еще не встречалось.