Собственно похоже на указатель на структуру размером более 0x141 байт. В EPROCESS находится по смещению 0x124.
Указатель на AVL-таблицу, содержащую информацию об адресном пространстве склонированного процесса, т.е. процесса-родителя, например. Детали есть в исходниках WRK, я не вникал в подробности, а про клонирование а.п. вроде было в книгах Руссиновича.
Спасибо x64, CloneRoot указывает непосредственно на MM_AVL_TABLE (нашёл в исходниках WRK). VMware (Win XP): Код (Text): +0x11c VadRoot : 0x818e2180 Void +0x120 VadHint : 0x819587f8 Void +0x124 CloneRoot : (null) +0x128 NumberOfPrivatePages : 0x59 +0x12c NumberOfLockedPages : 0 +0x130 Win32Process : 0xe1c23e68 Void +0x134 Job : (null) +0x138 SectionObject : 0xe18a24f8 Void +0x13c SectionBaseAddress : 0x01000000 Void +0x140 QuotaBlock : 0x8194c860 _EPROCESS_QUOTA_BLOCK +0x144 WorkingSetWatch : (null) +0x148 Win32WindowStation : 0x00000034 Void +0x14c InheritedFromUniqueProcessId : 0x00000648 Void +0x150 LdtInformation : (null) +0x154 VadFreeHint : (null) +0x158 VdmObjects : (null) +0x15c DeviceMap : 0xe191e690 Void +0x160 PhysicalVadList : _LIST_ENTRY [ 0x81c9d180 - 0x81c9d180 ] +0x168 PageDirectoryPte : _HARDWARE_PTE +0x168 Filler : 0 +0x170 Session : 0xf8a80000 Void +0x174 ImageFileName : [16] "notepad.exe"
