Um Kernel Hooks zu unhooken musst du wohl auch im Kernelmode arbeiten, und wenn man das schon tut ist ein eigener NDIS Driver wohl intuitiver.
Und ich kenne keine Personal Firewall, die nicht im Kernelmode arbeitet, also reicht es nicht die Usermode APIs zu unhooken.
Dazu kommt noch, dass man eigentlich als Malware nicht ohne weiteres seinen Kernel-Treiber installieren kann, weil einem die nötigen Rechte fehlen. (Vorrausgesetzt der User versteht, dass man nicht mit Administrator-rechten an seinem PC arbeitet).