PEid erkennt z.b. den Typ des Programms (delphi, c++) nach den Daten am EntryPoint. Viele Viren neutzen ja eben die Technik Code anzufügen und dann den Entrypoint zu verbiegen um den Virencode vorher aufzurufen und dann im anschluß den originalen Code aufzurufen. Je nachdem wie einfach die Erkennung eingebaut wurde könnten da FalsePositives auftreten (Bevhaves like...).

Jetzt nochmal zum Thema: willst du irgendwann den origianlen EIP wieder aufrufen? wenn nicht schreib an den anfangscode (EIP) einen Jump bzw. patch die initialisierung vom MM manager raus (mussu halt debuggen).

Willst du lediglich Code ausführen bevor die Main-Funktion (DLL/EXE-main) und damit die Inititialisierung des MM Managers aufgerufen wird, trag deien funktion in die TLS-Tabelle ein.