Является ли первый поток, который запускается внутри процесса Win32, "основным потоком"? Нужно понимать семантику

Я создаю процесс, используя CreateProcess() с CREATE_SUSPENDED а затем приступить к созданию небольшого фрагмента кода внутри удаленного процесса, чтобы загрузить DLL и вызвать функцию (экспортированную этой DLL), используя VirtualAllocEx() (с ..., MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE), WriteProcessMemory()затем позвоните FlushInstructionCache() на том патче памяти с кодом.

После этого я звоню CreateRemoteThread() чтобы вызвать этот код, создав меня hRemoteThread, Я проверил, что удаленный код работает как задумано. Примечание: этот код просто возвращает, он не вызывает никаких API, кроме LoadLibrary() а также GetProcAddress()с последующим вызовом экспортированной функции-заглушки, которая в настоящее время просто возвращает значение, которое затем будет передано в качестве состояния выхода потока.

Теперь приходит своеобразное наблюдение: помните, что PROCESS_INFORMATION::hThread все еще приостановлено. Когда я просто игнорирую hRemoteThreadкод выхода, а также не ждите его выхода, все идет "хорошо". Процедура, которая вызывает CreateRemoteThread() возвращается и PROCESS_INFORMATION::hThread возобновляется, и (удаленная) программа фактически запускается.

Однако, если я позвоню WaitForSingleObject(hRemoteThread, INFINITE) или выполните следующее (что имеет тот же эффект):

DWORD exitCode = STILL_ACTIVE;
while(STILL_ACTIVE == exitCode)
{
    Sleep(500);
    if(!GetExitCodeThread(hRemoteThread, &exitCode))
        break;
}

с последующим CloseHandle() это ведет к hRemoteThread заканчивая раньше PROCESS_INFORMATION::hThread возобновляется, и процесс просто "исчезает". Достаточно разрешить hRemoteThread как-то закончить без PROCESS_INFORMATION::hThread чтобы заставить процесс умереть.

Это выглядит подозрительно как состояние гонки, так как при определенных обстоятельствах hRemoteThread может все еще быть быстрее, и процесс, вероятно, все еще "исчезнет", даже если я оставлю код как есть.

Означает ли это, что первый поток, который запускается внутри процесса, автоматически становится основным потоком и что для этого основного потока существуют специальные правила?

У меня всегда было впечатление, что процесс заканчивается, когда умирает его последний поток, а не когда конкретный поток умирает.

Также обратите внимание: нет звонка ExitProcess() участвует здесь в любом случае, потому что hRemoteThread просто возвращается и PROCESS_INFORMATION::hThread все еще приостановлено, когда я жду hRemoteThread возвращать.

Это происходит на Windows XP SP3, 32-битная.

Изменить: Я только что попробовал Sysinternals Process Monitor, чтобы увидеть, что происходит, и я мог проверить свои наблюдения из ранее. Внедренный код не аварийно завершает работу или что-то еще, вместо этого я вижу, что если я не жду потока, он не завершает работу, прежде чем закрыть программу, в которую был введен код. Я думаю, что вызов CloseHandle(hRemoteThread) должно быть отложено или что-то...

Изменить +1: это не CloseHandle(), Если я оставлю это только для теста, поведение не изменится при ожидании завершения потока.