Der Pointer ist richtig. Was ich beim ersten analysieren mit PE Explorer schon festegestellt habe, ist, dass die Characteristics von iexplore und firefox zum Beispiel unterschiedlich sind.

Ich lade mir jetzt mal Stud PE runter und vergleiche die Images

IEXPLORE:
Characteristics: 102

FIREFOX:
Characteristics: 10F

Ansonsten scheint alles (bis auf die verschiedenen Imports / Exports) gleich zu sein.

//Edit: Teilweise erscheint bei NtCreateThreadEx auch noch der Fehler: "Unzulässiger Zugriff auf einen Speicherbereich"