看看这个有能找到点什么。按我的理解，应该是type

802K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3d9e0u0o6j5Y4g2K6i4K6u0r3j5i4u0U0K9r3W2$3k6g2)9J5c8U0t1H3x3o6S2Q4x3V1j5H3y4g2)9J5c8U0t1I4i4K6u0r3x3U0b7$3y4U0x3I4y4W2)9J5k6h3q4K6M7s2R3`.

我在 5bbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6A6M7Y4y4G2k6Y4c8Q4x3X3g2F1k6i4c8Q4x3V1k6C8k6i4u0F1k6h3I4Q4y4h3k6K6N6s2u0#2j5%4c8Q4x3V1k6$3K9i4y4@1j5g2)9J5c8V1!0n7d9V1g2o6g2q4)9#2k6V1S2q4b7f1c8q4f1W2)9J5k6h3S2@1L8h3H3`. 上看的Windows Vista ：OBJECT_HEADER定义是：（我在网上好像看过说明Windows 2k,Windows Vista,Windows xp都是这样定义OBJECT_HEADER的）
typedef struct _QUAD
{
     union
     {
          INT64 UseThisFieldToCopy;
          Float DoNotUseThisField;
     };
} QUAD, *PQUAD;
typedef struct _OBJECT_HEADER
{
     LONG PointerCount;
     union
     {
          LONG HandleCount;
          PVOID NextToFree;
     };
     POBJECT_TYPE Type;
     UCHAR NameInfoOffset;
     UCHAR HandleInfoOffset;
     UCHAR QuotaInfoOffset;
     UCHAR Flags;
     union
     {
          POBJECT_CREATE_INFORMATION ObjectCreateInfo;
          PVOID QuotaBlockCharged;
     };
     PVOID SecurityDescriptor;
     QUAD Body;
} OBJECT_HEADER, *POBJECT_HEADER;

如果是这样的定义，为什么看雪上会有一篇翻译的文章说Windows XP SP2 英文版OBJECT_HEADER的大小是：0x18
好像翻译文章也有问题：+0x018 Body      : _QUAD  应该说Body在OBJECT_HEADER的偏移是：0x18,而OBJECT_HEADER的大小应该是：0x18+8（大小32字节）才对啊！真是糟糕！

而且OBJECT_HEADER的定义是按：1字节对齐的！！

这里的QUAD不是LARGE_INGETER中的QuadPart，它其实就是实际的内核对象的占位符，或者说就是为了让编译器计算偏移地址（比如CONTAINING_RECORD()宏）的一个（伪）字段。不同的内核对象，这个字段就用不同的对象来替换了。

而QUAD被定义为union，而不是一个struct，这样就可以对类似这样的错误的代码产生编译错误：

OBJECT_HEADER someObjectHeader = OBJECT_TO_OBJECT_HEADER(someObject);
someObjectHeader.[COLOR="Red"]Body[/COLOR] ...

QUAD的定义如下，并且这也说明这个union是不可以直接引用的：

typedef struct _QUAD
{
     union
     {
          INT64 UseThisFieldToCopy;
          Float DoNotUseThisField;
     };
} QUAD, *PQUAD;