No se me ocurre una forma predefinida de hacer eso porque ese es un campo simple que puede apuntar a cualquier parte dentro de la imágen del ejecutable.

La forma más fácil que se me ocurre es saber de antemano la dirección a la que debe apuntar ese campo, el checksum del programa en cuestión, su tamaño original y conocer las instrucciones que deberían estar en el punto de entrada al que apunta el AddressOfEntryPoint, además de algún tipo de mapa de secuencia de instrucciones que permita determinar si la estructura de una versión de un ejecutable está alterada.

El AddressOfEntryPoint no necesariamente tiene que apuntar al inicio de la sección de código sino que puede llevar a cualquier lugar dentro de esta, y es algo perfectamente normal y común.

Muchos programas (la mayoría) tienen un valor de 0 en el checksum de la cabecera PE. Solo a los drivers, DLLs y ejecutables de sistema se les requiere tener un checksum válido.

Por eso depender de este campo no es bueno para determinar un cambio en el ejecutable. Sería mejor calcular desde el principio un checksum global con MD5 o SHA-1 a todo el archivo .EXE, y guardarlo como clave en un lugar seguro, no en el .EXE, para volver a comparar cuando se necesite.