O artigo descreve a técnica de EntryPoint Hijacking implementada no nível do sistema operacional Windows, onde código malicioso é injetado no espaço de endereço de um processo e executado sequestrando o DllMain sem criar novas threads. A modificação de um EntryPoint de DLL é realizada via estruturas de loader (PEB e LDR), permitindo que o atacante se integre perfeitamente ao ciclo de vida do processo e complique a detecção.

Implementações usando as ferramentas EPI e LdrShuffle são discutidas, onde o EntryPoint de bibliotecas do sistema é substituído, seguido pela execução de código através de um pool de threads gerenciado e restauração dos valores originais.

📎 Artigo: https://ipurple.team/2026/05/13/entrypoint-hijacking/

💬 Discutir

EntryPoint Hijacking: stealth injection into Windows process memory