Seguro aunque no te permitiria mas que saber que hubo cambios, algo que se podria derivar directamente de interceptar el cambio de proteccion de la pagina ...
Estoy de acuerdo. Creo que la opcion mas viable seria hookear VirtualProtect y VirtualAlloc y verificar las direcciones en que se esta intentando usar la API.
Saludos!
PD: Agregue VirtualAlloc porque usando esa API con MEM_COMMIT y PAGE_EXECUTE_READWRITE da permisos de ejecucion a una pagina sin allocar nada (tecnica usada en exploits).