1. не оставлять PE-заголовков на клиенте ( а.к.а премать изображение на сервере )
2. скрывать аллоцированную память ( kernel )
3. ремапать изображение, после инжекта в процесс
4. обфускация функций
5. создание и сравнение хеша ( а.к.а защита от патчей )
6. брейкпоинты
7. thread hijacking
8. мосты между решенными импортами
9. brain ( есть еще куча всего, что я не написал )
нет, мутация не особо много решает ( просто при статик анализе ищешь сигнатуру аллокации / создания отдельного потока и хукаешь ее )
ага да, трассировать в дебаге тоже против ветра, наверное, нужно будет, если есть протектор? протекторы ничего особо не решают, более того, абсолютно не важно, кто протектил: криворукий уебан или уебанский пряморучка