关于ntoskrnl.exe的hook

小弟才学内核，肤浅问题牛人们见笑了。

目的：因为系统判断合法pe文件第一步就是MZ和PE两个标识，我想修改windows的判断标准，比如开头是MM，也认为是合法pe。
目前进展：似乎判断是在ntcreatesection时进行的。这个函数的实现是在ntoskrnl.exe里，所以打算hook它。（我只做过ring3的api 的几种hook）。当我们双击运行一个程序，explorer.exe负责建立进程并运行，它最终也是sysenter进入ring0.但是关于ntoskrnl.exe这个东西我认知很浅，我发现在系统里可以删除它（虽然windows会马上复原），说明是不是没有东西正在访问它？我看explorer.exe里也没有这个模块。难道是要在ring0下才看得到这个模块，并进行hook吗？

ps：小弟对windows检查pe文件标识MZ是否在ntcreatesection中，还不确信，如果有前辈做过，恳请不吝指点一二。谢谢各位了。