Bueno aca les dejo algo que estaba haciendo para como se dice por aca "sacarme la leche", es un pseudo rootkit que se inyecta y hookea la API MessageBoxW, el ejemplo se inyecta en el notepad y "consume" los messagebox como por ejemplo al querer reemplazar un archivo, pueden usar ProcessExplorer para ver la libreria en memoria y DebugView para ver las llamadas a la API.
El ejemplo es muy basico pero funciona correctamente, hay incluida una version compilada para los que no saben como hacerlo.... no hay mucho mas para decir.
Descarga: http://www.uploadsourcecode.com.ar/d/lNS2csLimZ1aQwIb5U6MryTxW0Wk6Ost
bien, hace tiempo estaba buscando algo como esto para estudiarlo. >:D
En el subforo de seguridad hay una chincheta con un programa mio que lo que hace es detectar estos tipos de hooks y los repara, estaria bien que en tu Dll verifique eso (que la dirección sea la tuya y no la original).
Un Saludo :D
Es buena idea Hendriҳ , este ejemplo esta muuuy crudo, pero lo voy a implementar cuando haga algo mas decente, la verdad me dio muchos dolores de cabeza hacer andar esto.
Gracias por el dato!