Detectando Criação de Thread Remota com Driver Windows

S12 explica como EDRs detectam injeção do tipo CreateRemoteThread usando PsSetCreateThreadNotifyRoutine, um callback de kernel que dispara no contexto do criador. Comparar PsGetCurrentProcessId() com o ProcessId da notificação identifica de forma confiável criação de threads entre processos. O driver WDF de prova de conceito registra o callback no DriverEntry, registra pares de PID criador/alvo, e filtra PID 4 (System) para suprimir threads legítimas iniciadas pelo kernel. Defensores que expandirem isso devem adicionar camadas de inspeção do endereço de início da thread, reputação do processo criador, e correlação com callbacks de carregamento de imagem e abertura de handle antes de alertar, já que o sinal bruto sozinho é ruidoso.