Beim IMAGE_FILE_NET_RUN_FROM_SWAP und IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP finde ich die Implementation seitens Microsoft eh mehr als fehlerhaft.
Die Flags von der EXE sollten sich auf alle DLL/BPL auswirken, wenn es dort aktiviert ist.
Es ist ja nicht grade förderlich, dass man im Grunde alle Fremd-DLLs bearbeiten und da im Header das Bit setzen muß, was sich erschwert, wenn die auch noch signiert sind.

Die sorgen aber auch nur, dass es eine Kopie im SWAP gibt, aber mehr muß deswegen aber dennoch nicht vom Share geladen werden.
* der Virenscanner lädt einmal alles
* dann wird Vieles zwar erstmal nur in den RAM gemappt, aber durch die Reallocationen (verschärft durch ASLR) wird dennoch fast alles sofort geladen (abgesehn von übergroßen Ressourcen)