Hook a la API Createprocess

[jw4v32]

hola a todos esta muy bueno el ejemplo, resulta que tengo un problema lo que yo quiero interceptar es otra API no la de CreateProcess, la de GetDesktopWindow, y resulta que no tengo las habilidades ni los conocimientos de como hacerlo, ademas de eso cuando dicha fucnion sea llamada hacer un windows.beep y guardar el log de la ruta en C:\log.txt, ya se como hacer para que la aplicacion corra sin ventana y demas.



es que creo que tengo algo en la Pc y necesito saberlo, junto con la ruta y ademas, mi antivirus no me sirve (NOD32)


alguien me puede hechar una mano

[[cHackAll]]

Cita:

Empezado por jw4v32

...yo quiero interceptar ... la de GetDesktopWindow ... cuando dicha fucnion sea llamada hacer un windows.beep y guardar el log de la ruta en C:\log.txt...
...es que creo que tengo algo en la Pc y necesito saberlo, junto con la ruta y ademas, mi antivirus no me sirve (NOD32)...

Hola jw4v32, entiendo lo que deseas hacer pero no entiendo que tiene que ver la API GetDesktopWindow con tener "algo" (por favor explicalo), tampoco entiendo eso de guardar la ruta... de qué, del ejecutable que llama a dicha API?

[jw4v32]

gracias por responder no se si sera posible hacer lo que digo, ps si no no importa, lo de la API GetDesktopWindow andube investigando en una pagina de ayudavirus donde dice que el 99 % de los troyanos actuales usan dicha funcion para capturar el escritorio de la victima (en este caso yo) y mandarla de vuelta (en formato de imagen) al atacante, ps yo tengo varios cartelitos que me aperecen que se que no son de window y que alguien me los manda por ej ("boludo, boludo deja de ver paginas porno Jajajajaja"), se me cierran las ventanas por asi al toque, etc. Pero estoy seguro de que mas de un programa debe de interactuar con dicha API cada 2 por 3 como es el caso del Explorer.exe, pero si el virus esta en formato de libreria (DLL), de proceso ya anlize todo y segun mi son normales, si podria sacarle la ruta a la dll que realiza dicha llamada a la api, entonces podria borrarla normalmente (si estoy 100% seguro de que es esa)entrando a window en modo consola (F8), no se si me explico bien esta ves.

[FENIXadr]

Hola gente... voy a quitarle un poco de polvo a este hilo porque me hace mucha falta y no me funciona el ejemplo de rounin... he buscado por muchos lugares y no he encontrado nada que me saque del paso.. el ejemplo de cHackAll me va de mil maravillas .. pero claro ese es para casos puntuales.. necesitaria monitorear todos los procesos (de ser posible) que se crean.. tengo win 7 con delphi 7SE y cuando corro el ejemplo de rounin no hace nada.. no me detecta absolutamente nada... encima el link a la pagina de trucos ya no funciona (http://www.q3.nu/trucomania/).. alguna ayuda por ahi??

desde ya muchas gracias..