黑客在杀毒软件方面采取了多种策略来规避检测和保护自己的恶意代码。以下是一些常见的方法：

加壳和加花

加壳：通过加壳工具处理程序，使其难以被反病毒软件分析，因为加壳会改变程序的内存布局，使得反病毒软件难以提取特征码。

加花：在程序中加入花指令，使得反病毒软件难以通过分析程序的指令序列来识别病毒。

修改特征码

黑客会修改已知病毒的特征码，使其不被现有的杀毒软件识别。

变换入口点

改变程序的入口点，使得反病毒软件难以在程序启动时检测到恶意行为。

入口点加密

对程序的入口点进行加密，使得反病毒软件在解密后仍然无法识别病毒。

加密与混淆

将恶意代码加密或混淆，使其难以被反病毒软件分析。

签名变异

改变恶意软件的特征签名，使其看起来像正常的软件或已知的病毒变种。

利用未知格式或漏洞

利用不常见的文件格式或软件中的漏洞来执行恶意代码，因为这些可能不在安全软件的检测范围内。

利用安全软件的漏洞

有时黑客会利用安全软件本身的漏洞来绕过检测，例如在Avast杀毒软件中利用Anti-Rootkit组件作为入侵跳板。

动态行为免杀

通过在程序运行时执行某些特定行为来绕过反病毒软件的监控，例如利用DeviceIoControl API和特定的IOCTL代码来终止关键的安全守护进程。

模糊哈希算法

反病毒软件使用模糊哈希算法来识别和比较文件，黑客可能会利用这种算法的特性来规避检测。

综上所述，黑客通过多种技术手段来规避杀毒软件的检测，这些手段包括加壳、加花、修改特征码、变换入口点、加密与混淆、签名变异、利用未知格式或漏洞以及利用安全软件的漏洞等。为了有效应对这些威胁，用户应保持操作系统和杀毒软件的更新，并定期进行安全扫描和监控。