SysWOW64란?

SysWOW64란?

%SystemRoot%\SysWOW64 디렉토리는 %SystemRoot%\system32 디렉토리가 리다이렉트된 디렉토리이며
64비트에서 32비트 시스템 프로그램이 %SystemRoot%\system32 디렉토리에서 읽고 쓰는 내용은 모두 %SystemRoot%\SysWOW64로 리다이렉트된다.

System32 디렉토리에서는 64비트 프로그램이 저장돼있는 반면, 32비트 프로그램은 SysWOW64  디렉토리에 존재한다.

WoW64 환경에서 32비트 프로그램이 HKLM\Software에 읽고 쓰는 데이터는 HKLM\SOFTWARE\Wow6432Node로 리다이렉트되며
64비트 시스템에서 32비트 악성코드가 HKLM\Software에 읽고 쓰는 흔적은 HKLM\SOFTWARE\Wow6432Node에 존재한다.
만약, 32비트 악성코드가 레지스트리 Run 항목에 자동실행을 등록한다면 해당 흔적은 아래와 같은 위치에 존재한다.
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

64비트 환경에서 실행된 32비트 악성코드의 흔적은 %SystemRoot%\SysWOW64 하위에서 찾는다.
32비트 프로그램에서 시스템 권한을 사용하는 데이터 흔적은 "%SystemRoot%\system32\config\systemprofile"가 아닌 "%SystemRoot%\SysWOW64\config\systemprofile"에서 찾아야 된다.