一个API函数被HOOK了(iceword显示为未知模块)，如何知道是哪个模块做的？

发现系统中一个API函数（应是NtConnectPort吧）被HOOK了，而Iceword显示为未知模块，那么如何才能知道是哪个模块HOOK的？希望各位大侠指点，谢谢！图如附件。
另外，我已通过Windbg看了一下，但没发现哪个模块是包含这个地址（LM命令的驱动没有，!process也没发现），是方法不对还是命令使用的不对？

rku是什么东东，能说的详细一点吗？全名？

用rku试了一下，问题好像更加严重了，它也不能找到这个模块，而且在驱动模块这一页里还发现了好几个未知代码页，且HOOK的函数应该就在其中，但问题是找不到是哪个模块产生这些页的，如图。

HOOK它倒是一种思路，问题在于现在不知道该HOOK谁，就是说皮不知道在哪里，毛附到哪里呢！各位老大是专家，我该如何做呢？先对各位的回复表示感谢了！

有老大指点一下就是不一样，呵呵，先谢了！！！
现在汇报一下新情况：
1、用RKU查看时，第一次曾在“Hidden drivers detector“页里（就是第二个图），在那几个未知页面下面（紧跟）见到过一个模块的handle，提示其为隐藏的，但是只见过一次，刷新后及后来（包括重启几次）都再也见不到了。
2、昨天曾进过安全模式，当时RKU不能运行，说是无法加载驱动，而Iceword倒是可以运行，并且显示这时没有函数被HOOK
3、本来想用Windbg做远程调试的，本机没有串口；装了SOFTICE想做启动调试，谁知SOFTICE安装时出错，试了几次都这样，只好选“忽略”，但是装好后却无法运行，真是郁闷极了。（顺便提醒大家以后买本子要带串口哈，这时才知道有串口的好处）。

实在没有办法就只好HOOK一下来试试，但这还要写程序，只好等有时间了。对了，那位大侠知道内核中把模块隐藏掉，然后创建几个未知的代码页来运行（或者这时运行的那个模块已经退出了？）的原理呀，这个才是偶最感兴趣的。

DarkCat:这位老大说的是什么意思？能不能详细一点？