Хм.. Зачем что-то изобретать? если нужно анхучить ntdll - читаем из файла оригиналиное содержимое функции да и затираем все хуки... Опять-же как можно изменить аттрибуты секции файла? разобрать PE заголовок, найти эту секцию и прописать новые аттрибуты? WFP сразу вернёт всё на место.
Да и грейт вообще-то прав. На моей памяти только аутпост СДТ не хучит.

P.S. А вообще молодец. Хорошее предложение. Только в реальности работать не будет...