После выполнения KeStackAttachProcess. PsGetCurrentProcessId() должна возвращать Id процесса к которому приатачились или процесса который создал поток?
XshStasX PsGetCurrentProcessId() - вернет контекст текущего потока ... Текущий поток не будет изменен KeStackAttachProcess не меняет контекст (потока или процесса) а меняет всего лиш cr3 с установкой памяти процесса к которому происходит атач, придворительно сохранив состояния APC.
