ns=  ObReferenceObjectByHandle(  sectionhandle,  0,  NULL,  KernelMode,  &pKey,  NULL  )  ;     
        pFile=(PVOID)*(ULONG  *)((char  *)pKey+20);  
        pFile=(PVOID)*(ULONG  *)((char  *)pFile);  
        pFile=(PVOID)*(ULONG  *)((char  *)pFile+36);  

ZwCreateProcess 根据传递进去的sectionhandle取进程的路径.

nt!_SECTION_OBJECT
   +0x000 StartingVa       : Ptr32 Void
   +0x004 EndingVa         : Ptr32 Void
   +0x008 Parent           : Ptr32 Void
   +0x00c LeftChild        : Ptr32 Void
   +0x010 RightChild       : Ptr32 Void
   +0x014 Segment          : Ptr32 _SEGMENT_OBJECT

lkd> dt _SEGMENT_OBJECT
nt!_SEGMENT_OBJECT
   +0x000 BaseAddress      : Ptr32 Void
   +0x004 TotalNumberOfPtes : Uint4B
   +0x008 SizeOfSegment    : _LARGE_INTEGER
   +0x010 NonExtendedPtes  : Uint4B
   +0x014 ImageCommitment  : Uint4B
   +0x018 ControlArea      : Ptr32 _CONTROL_AREA
   +0x01c Subsection       : Ptr32 _SUBSECTION
   +0x020 LargeControlArea : Ptr32 _LARGE_CONTROL_AREA
   +0x024 MmSectionFlags   : Ptr32 _MMSECTION_FLAGS
   +0x028 MmSubSectionFlags : Ptr32 _MMSUBSECTION_FLAGS

pFile=(PVOID)*(ULONG  *)((char  *)pFile);  这句取的是BaseAddress     
BaseAddress     这个对应的是什么啊？？  
所以后面的 + 36 看不懂了。。谢谢解答。

[课程]FART 脱壳王！加量不加价！FART作者讲授！