Các ứng dụng thường xuyên tác động lên nhau trên máy tính. Ví dụ: khi mở một file pdf trên máy tính, windows explorer sẽ gọi chương trình xem pdf mặc định để chứa nội dung pdf. Tường lửa sẽ kiểm tra tác động đó và ngăn chặn những thực thi không được phép truy cập do đó tường lửa cần có vị trí trung gian, chính là các function hook, để có thể kiểm soát các hoạt động giữa các ứng dụng với nhau.
Để có chế độ bảo vệ mức cao, các chương trình ứng dụng bảo mật thường cần có mức điều khiển hơn mức tiến trình ứng dụng thông thường. Để đạt được điều đó, tường lửa thay thế một số “internal system functions” bởi các functions của riêng nó. Việc thay thế các function của hệ thống được gọi là “hooking”.
Có hai chế độ để thực hiện hooking là “user mode hooks” và “kernel mode hooks”. User mode là phương thức đặc biệt cho việc xử lý các tiến trình của người dùng, với những đặc quyền truy cập thấp hơn so với kernel mode. Kernel mode, mặt khác, là sự thi hành toàn diện hơn và vận hành trực tiếp từ nhân của Windows và xử lý những lệnh đặc biệt của hệ thống.
So sánh đặc trưng user mode và kernel mode hook [ 19 ]:
Tiêu chuẩn so sánh User-mode hooks Kernel-mode hooks
An toàn
1) Hook disabling (unhooking) Dễ dàng bị unhooking nếu không được bảo vệ cẩn
Có thể bị unhooking khi sử dụng quyền quản trị cao
chế độ user mode hook cần có biện pháp đối phó đặc biệt để chống đỡ lại unhooking.
2) Process Có thể xử lý tiến trình trong thời gian thực, một số ngăn chặn:
• Kết thúc hợp pháp của ứng dụng.
• Xử lý tiến trình ngay cả khi có thể thay đổi ứng dụng, không toàn vẹn dữ liệu.
Không thể xử lý tiến trình trong thời gian thực.
Độ ổn định
3) Hoạt động ổn định Ổn định, ít gây ra lỗi trong
hoạt động. Không ổn định, độ ổn định phụ thuộc vào nhiều yếu tố khác như phần mềm, phần cứng.
Tương thích
4) 64-bit Windows compatible Có Không, do Microsoft có chế độ bảo vệ.
5) Windows Vista compatible Có Không, thiết kế ban đầu của window vista không cho phép truy cập (hook) vào kernel mode.