Как объективно сравнить pe-файл и его проекцию в памяти?

Суть такова: мы получаем информацию о процессе, получаем его базовый адрес и путь к файлу. Затем мне нужно проанализировать память и файл и понять, загружено ли в память именно это приложение или же его проекцию заменили на другое приложение. Первоначальная идея была: брать контрольную сумму от секции кода, но, как выяснилось, почему-то результирующие хэши получаются разные. [Причём, например, в ходе отладки выяснил, первые 100/1000 байт совпадают, а дальше пошли различия.] Так вот, есть ли ещё идеи, как можно понять, загружено ли целевое приложение, или же его заменили? Заранее благодарю.