Mensajes

Ahora lo entiendo  ¿Para grandes empresas para hacer que? Lo que es PC (que fue creada por IBM) es x86 incluso Apple dejo PPC.

No se ... ¿De donde sacas la informacion?

Fui a mi banco e hice la transferencia del 50%, 800€, a la cuenta que me dieron, esto me supuso pagar un cargo de 200€ por ser una transferencia al extranjero.

Jaja, si te cobraron 200€ por la transferencia es que te vieron la cara ... en fin, no te creo.

¿Mejor PPC? ¿Para que? Ya no hay ninguna PC que lo use ...


http://en.wikipedia.org/wiki/Vasm

De nadas 

Primero estas creando un programa que no es realmente de consola y por eso tenes que llamar a AllocConsole.

Agregando esto al principio no hace falta y tu programa tendra como subsystem en el PE console:

Código (asm) [Seleccionar] Expandir

format PE console

Segundo estas pidiendo el HANDLE para la ENTRADA, es decir el teclado, tenes que pedir la salida, el monitor:

Código (asm) [Seleccionar] Expandir

invoke GetStdHandle, STD_OUTPUT_HANDLE

Y tercero efectivamente la linea de WriteConsole esta mal, deberia ser asi:

Código (asm) [Seleccionar] Expandir

invoke WriteConsole, [hwnd], linea, [longitud], escribe, NULL

las comillas las hay que sacar al llamar a CreateFileA

Bueno, proba el codigo que te dieron con un path que tenga espacios (que es el caso de las comillas).

lo puse aqui por que en el foro indicado no hay actividad, ademas es una API que es independiente del lenguaje
saludos

Seguro que no habra actividad ubicando incorrectamente los hilos y eL ejemplo que te dieron no es muy independiente del lenguaje.

Te aviso que ademas de los keyloggers que usan ese metodo (todos de modo Usuario) existen los de modo Kernel (un filtro por ejemplo) y los de hardware.

Eso lo veo con el WinDbg de Microsoft.

Mas que equivalente es la funcion que implementa realmente la funcionalidad (valga la redundancia) y existir existe (idem  ):

Código (asm) [Seleccionar] Expandir


user32!NtUserSetWindowsHookEx:
7e3a81fb b825120000      mov     eax,1225h
7e3a8200 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7e3a8205 ff12            call    dword ptr [edx]
7e3a8207 c21800          ret     18h

win32k!NtUserSetWindowsHookEx:
bf852c45 8bff            mov     edi,edi
bf852c47 55              push    ebp
bf852c48 8bec            mov     ebp,esp
bf852c4a 56              push    esi
bf852c4b e8eadefaff      call    win32k!EnterCrit (bf800b3a)
bf852c50 33f6            xor     esi,esi
bf852c52 397510          cmp     dword ptr [ebp+10h],esi
bf852c55 7433            je      win32k!NtUserSetWindowsHookEx+0x27 (bf852c8a)

...

De cualquier manera estoy de acuerdo con Littlehorse, mejor plantea el problema y no la solucion que crees posible.

Es decir que acabo de bajar el ultimo WDK al reverendo pedo 

En ese hilo yo decia que hay que tener cuidado con los offsets hardcodeados. Bueno, el WDK no trae esa estructura definida por una razon: puede (y lo hace) cambiar de version a version.

The EPROCESS structure is an opaque structure that serves as the process object for a process.

Veamos el archivo ese:

This is a free version of the file ntifs.h, release 56.
    The purpose of this include file is to build file system and
    file system filter drivers for Windows NT®, Windows® 2000,
    Windows® XP and Windows® Server 2003.

DISCLAIMER: I do not encourage anyone to use this include file to build
    drivers used in production. The information in this include file is
    incomplete and intended only as an studying companion. The information
    has been found in books, magazines, on the Internet and received from
    contributors. Some of the information in this file may not be available
    in other publications intended for similar use, these should be used with
    extra care. Some of the information in this file may have different names
    than in other publications even though they describe the same thing.

En fin que no es el archivo oficial que deberias usar ... leelo y vas a ver como define EPROCESS y con que metodo.