GetRealModuleHandle gibt dir von einer speicherstelle die "darunterliegende" library zurück.

Es sollte nur für einen Speicherbereich benutzt werden der auch in einer dll liegt.
Es wird in dem Fall von dir mit der ntdll verglichen da es um das weiterleiten einer Importierten funktion geht.
Unter NT können imports weitergeleitet werden, z.b. exportiert die kernel32.dll funktionen die gar nicht in der eigenen dll liegt sondern in der ntdll.dll. Es ist mit auch nur in den speziellen fällen bekonnt. wenn du jetzt nen exporttablecheck machst ob eine funktion in der dll liegt, und sie liegt ausserhalb, dann muss diese funktion noch lange nicht "gehookt" sein da, spieziell bei der kernel32.dll das forwarding genutzt wird, d.h. einige funktionen liegen NIE in der kernel32.dll sondern in der ntdll.dll. d.h. in den fällen sind die funktionen auch nicht gehookt.
es ist aber glaub ich besser nen check zu machen ob eine bestimmte funktion weitergeleitet wird. Ich selber hab mir noch nicht angeschaut welcher flag etc. gesetzt ist, bzw wie das genau funktioniert.