EntryPoint Hijacking: Técnica de Persistência Avançada em DLLs Legítimas

O EntryPoint hijacking sobrescreve o ponto de entrada de DLLs legítimas como kernelbase.dll, fazendo código malicioso executar quando processos criam threads. Essa técnica evita APIs óbvias de criação de thread e prolonga o tempo de permanência no sistema. Ferramentas proof-of-concept como EPI e LdrShuffle modificam estruturas loader do PEB, executam shellcode via thread pools ou helper runners, depois restauram o EntryPoint original para manter processos stable. A detecção depende de varredura contínua das estruturas PEB e LDR, comparando OriginalBase e DllBase, monitorando mudanças nos tipos de memória do EntryPoint e correlacionando atividade suspeita de OpenProcess e ReadProcessMemory com tráfego de saída de processos sensíveis.