1) Получение адресса загрузки ядра.
Через LoadLibrary("kernel32.dll") получаем адресс загрузки ядра, можно использовать и другие методы как PEB или поиск по сигнатуре MZ при старте проги первым в стеке лежит аддрес в ядро, исходя из него ищется MZ и получаем адресс загрузки.

2) Зная адресс загрузки, анализируем ядро, как обычный PE-файл, т.е. ддос заголовок, потом PE заголовок, потом переходим в директорию экспорта и получаем адресса необходимых нам процедур, расположенных в ядре.