GetRealModuleHandle gibt von einer Adresse die Imagebase von der dll zurück in der diese liegt.
das mit der ntdll hab ich so gemacht da die kernel32.dll einige exporte auf funktionen der ntdll weiterleitet.
d.h. es würde immer "Hooked" zurückgeben. kann man aber noch verbessern, musst dir selbst mal anschaun.