初学API hook的问题，能不能不用全局钩子？

要让编写的函数替换目标进程(rundll32.exe)里面的系统调用，但是我并不知道这个rundll32何时运行，用全局HOOK当然可以实现，但是要求不用全局HOOK，
我想这样做，要监听在rundll32.exe开始运行时，然后调用SetWindowsHookEx，但是有个这样的要求我不知道怎么实现，我是利用更改rundll32的输入节来替换API调用的，所以我就必须在rundll32调用这个函数之前就必须改变输入节（效果就跟全局HOOK一样），于是我不知道什么时候去调用SetWindowsHookEx。应该怎样解决呢，各位大哥给在下支个招吧。