TLS回调中的线程EntryPoint作为AntiDebug技术

我遇到了一个名为《终极反反向参考》的文档，该文档描述了各种反调试技术。在第4点中。线程本地存储有提到


每当创建线程或销毁线程时都会调用线程本地存储回调（除非进程调用kernel32
DisableThreadLibraryCalls（）或ntdll
LdrDisableThreadCalloutsForDll（）函数）。其中包括调试器附加到进程时Windows创建的线程
。
调试器线程是特殊的，因为它的入口点不指向映像内部。相反，它指向kernel32.dll内部。因此，
一种简单的调试器检测方法是使用线程本地存储
回调查询所创建的每个线程的起始地址。
可以使用此32位代码进行检查。在32位或64位版本的Windows上检查32位Windows环境
：

 push eax
 mov eax, esp
 push 0
 push 4
 push eax
 ;ThreadQuerySetWin32StartAddress
 push 9
 push -2 ;GetCurrentThread()
 call NtQueryInformationThread
 pop eax
 cmp eax, offset l1
 jnb being_debugged
 ...

我编写了如下的c ++代码

bool fooBar()
{
    uintptr_t dwStartAddress;
    TFNNtQueryInformationThread ntQueryInformationThread = (TFNNtQueryInformationThread)GetProcAddress(
    GetModuleHandle(TEXT("ntdll.dll")), "NtQueryInformationThread");

    if (ntQueryInformationThread != 0) {

        NTSTATUS status = ntQueryInformationThread(
            (HANDLE)-2,
            (_THREADINFOCLASS)9,
            &dwStartAddress,
            sizeof(dwStartAddress),
            nullptr);
       cout << hex << "dwStartAddress: 0x" << dwStartAddress << dec << endl;
    }

，我正在TLS回调中运行此代码
/> dwStartAddress的值指向.exe模块，而不是文本中指出的kernel32.dll。无论我是运行exe还是在调试器中运行，还是将调试器附加到进程中（我对附加的经验都不太丰富，所以也许我在这里做错了）。

我是在做错什么，还是文本错误/不再有效？