在.sys中如何hook messagebox?

我们知道，messagebox 定义在user32中，
用zwquerysysteminformation可以hook其他的SYS文件
中的函数。
但user32.dll不运行在系统核心区，于是不能得到
user32.dll的基地址。而且，在NT中，每个进程中都
应该有一个DLL复制，故用GetProcAddress（）只能
得到该副本的user32 基地址。
如果我要对所有messagebox hook的话，用GetProcAddress
是否应该不可以？
我怎么能够在自己编的sys中hook messagebox 呢？
是否user32中对messagebox的实现又调用更底层sys中的API呢？

是否通过可以hook zwCreatewindowex(..)来判断？