Bueno aca les dejo algo que estaba haciendo para como se dice por aca "sacarme la leche", es un pseudo rootkit que se inyecta y hookea la API MessageBoxW, el ejemplo se inyecta en el notepad y "consume" los messagebox como por ejemplo al querer reemplazar un archivo, pueden usar ProcessExplorer para ver la libreria en memoria y DebugView para ver las llamadas a la API.
El ejemplo es muy basico pero funciona correctamente, hay incluida una version compilada para los que no saben como hacerlo.... no hay mucho mas para decir.
Descarga: http://www.uploadsourcecode.com.ar/d/lNS2csLimZ1aQwIb5U6MryTxW0Wk6Ost