某驱动代码：
ThreadHook proc
            pushad
            mov eax,dword ptr [esp+18h+20h]
            cmp byte ptr [eax-4],65h ;tessafe 'e'== 65h
jne @F
       
            cli
        mov eax, cr0
        and eax,0fffeffffh
        mov cr0, eax
        mov eax,dword ptr [esp+18h+20h]
        mov threadproc,eax
        mov ecx,eax
        and ecx,0ffh;取TX驱动地址最后一个byte
------------
ThreadHook是在系统PsCreateSystemThread地方Hook跳过来的 ：
            pushad
之后 栈里应该是这样：
esp+20h call PsCreateSystemThread的返回地址
esp+20h+4 PsCreateSystemThread函数第一个参数
esp+20h+18h PsCreateSystemThread函数第六个参数，也就是StartRoutine的地址

cmp byte ptr [eax-4],65h ;tessafe 'e'== 65h

这句就整不明白了

希望得到朋友们指点！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课