//kernel debug (win xp / win 2003 server) to see structures
        // then we can get file name according section object

        // ( EPROCESS-> ) SectionObject(_SECTION_OBJECT)->Segment(_SEGMENT)->
        //   ControlArea (_CONTROL_AREA)->FilePointer( _FILE_OBJECT)

                        /*
                        nt!_SECTION_OBJECT
                        ...
                        +0x014 Segment          : Ptr32 _SEGMENT_OBJECT

                        note: _SEGMENT_OBJECT seemed to be _SEGMENT in fact !!!
                                and use  Segment as _SEGMENT can success

                        lkd> DT _SEGMENT
                        nt!_SEGMENT
                        +0x000 ControlArea      : Ptr32 _CONTROL_AREA
                        ...

                        lkd> DT _CONTROL_AREA
                        nt!_CONTROL_AREA
                        ...
                        +0x024 FilePointer      : Ptr32 _FILE_OBJECT
                        ...   
                        */

lkd> dt _SECTION_OBJECT
nt!_SECTION_OBJECT
   +0x000 StartingVa       : Ptr32 Void
   +0x004 EndingVa         : Ptr32 Void
   +0x008 Parent           : Ptr32 Void
   +0x00c LeftChild        : Ptr32 Void
   +0x010 RightChild       : Ptr32 Void
   +0x014 Segment          : Ptr32 _SEGMENT_OBJECT
你的意思是windbg写错了，应该是_SEGMENT？

嗯~~~~~~~~~~~~~~~

搞定了，谢谢了