Драйвер ядра Windows: ZwAllocateVirtualMemory, вызывающий прерывание потока

Я пытаюсь написать драйвер APC для инъекций DLL, я нашел этот пример и подумал, чтобы изменить его в соответствии с моими потребностями.

Я использую PcreateProcessNotifyRoutineEx, чтобы получить ProcessId для конкретных приложений, на которые я нацеливаюсь, в данном случае "iexplore.exe", а затем использую PloadImageNotifyRoutine, чтобы проверить, загружен ли ntdll.dll и инициализирован (из этой рекомендации), а также загружен ли ntdll.dll. Я называю "мою" функцию InjectDLL.

Это функция PloadImageNotifyRoutine, которая вызывает InjectDll:

VOID PloadImageNotifyRoutine(
    _In_ PUNICODE_STRING FullImageName,
    _In_ HANDLE ProcessId,
    _In_ PIMAGE_INFO ImageInfo
)
{
    PEPROCESS Process = NULL;
    PETHREAD Thread = NULL;
    PCHAR pTeb = nullptr;
    DWORD ArbitraryUserPointer = 0;
    PCHAR pszProcessNameA = nullptr;

    pTeb = (PCHAR)__readfsdword(0x18);
    ArbitraryUserPointer = *(DWORD*)(pTeb + 0x014);

    // If ArbitraryUserPointer points to kernel32.dll it means ntdll.dll is done loading.
    if (FALSE == IsStringEndWith((wchar_t*)ArbitraryUserPointer, L"\\kernel32.dll"))
    {
        return;
    }

    if (!NT_SUCCESS(PsLookupProcessByProcessId(ProcessId, &Process)))
    {
        return;
    }

    pszProcessNameA = (PCHAR)PsGetProcessImageFileName(Process);
    if (FALSE == StringNCompare(pszProcessNameA, "iexplore.exe", GetStringLength("iexplore.exe")))
    {
        return;
    }

    Thread = KeGetCurrentThread();
    InjectDll(MODULE_PATH, Process, Thread);
    ObDereferenceObject(Process);
}

И это функция InjectDll:

BOOLEAN InjectDll(PWCHAR pModulePath, PEPROCESS Process, PETHREAD Thread)
{
    PKINJECT mem;
    ULONG size;

    mem = NULL;
    size = 4096;

    if (!NT_SUCCESS(ZwAllocateVirtualMemory(NtCurrentProcess(), (PVOID*)&mem, 0, &size, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE)))
    {
        return FALSE;
    }

    //more code ...
}

Я убрал здесь некоторые проверки, чтобы было понятнее.

Я попытался немного отладить его, но похоже, что ZwAllocateVirtualMemory пытается выделить память, в какой-то момент происходит сбой и завершает поток.

После того, как он вызывает ExAllocatePoolWithTag, он начинает освобождать память, размечать разделы и завершать поток (<= вызовы, которые я видел в стеке во время отладки - на самом деле не отслеживал каждый вызов, но просматривал его в общем виде).

Стек до завершения потока:

nt!ExAllocatePoolWithTag+0x195
nt!NtAllocateVirtualMemory+0x1066
nt!KiSystemServicePostCall
nt!ZwAllocateVirtualMemory+0x11
kernel_apc_dll_injector!InjectDll+0x54
kernel_apc_dll_injector!PloadImageNotifyRoutine+0x2b0
nt!PsCallImageNotifyRoutines+0x62

Процесс по-прежнему виден из диспетчера задач, но его память составляет 92 КБ и не использует ЦП, возможно, из-за того, что он "не очищен" должным образом.

Я не знаю, прав ли мой анализ, и, возможно, он даже не нужен для этой проблемы.