线程问题

  目前.我在驱动里面hook了NtCreateThread,有几个问题,
1.PsSetCreateThreadNotifyRoutine是不是在创建线程代码之后执行完之后才响应的?
因为我在NtCreateThread的hook代码里面dbgprint比PsSetCreateThreadNotifyRoutine要先打印出来.
2.A.Exe往B.exe注入代码,对于远程线程CreateRemoteThread来说,在NtCreateThread的hook代码里面,PsGetCurrentProcessID是不是A.exe还是B.exe的?
那么如何获得另外一个???
我目前在研究hips系统,要判定监控远程线程.
请各位帮忙!
谢谢.

1. PsSetCreateThreadNotifyRoutine设置一个数组的内容，这个数组是一个函数指针数组，存放的都是函数的入口地址，线程创建完成后会去便利这个数组，执行其内包含的函数，所以第一个问题的答案是肯定的。
2、PsGetCurrentProcessID是A.exe