Bij 64bit systemen is het mogelijk om ook 32bit applicaties te draaien door middel van een emulator genaamd WOW64 (Windows On Windows 64), deze emulator zorgt ervoor dat 32bit applicaties geredirect worden naar de SYSWOW64 map waar alle 32bits bestanden worden opgeslagen, omdat de aangemaakte 64bit bestanden vaak een identieke naam hebben die gelijk is aan de 32bit versie worden deze bestanden opgeslagen in SYSWOW64 map waar vanuit deze door de 'file system redirector' kunnen worden aangesproken.
Dit is dan ook de oorzaak waardoor b.v. HijackThis op 64bit systemen de melding (File Missing) geeft.
HijackThis is een 32Bit applicatie die werkt met de WOW64 emulator, dus aanvragen van HijackThis worden geredirect naar de SysWOW64 map, maar HijackThis is hiervan niet op de hoogte en kan het betreffende bestand niet vinden, dit heeft dan ook weer te maken met het register.
Als voorbeeld nemen we even de volgende regel.
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
Dit bestand is aanwezig in de SYSTEM32 map, maar omdat er alleen een 64bit waarde in het register aanwezig is dat gekoppeld is aan een bestand in en SYSTEM32 map gaat HijackThis op zoek of wordt beter gezegd omgeleid naar de SYSWOW64 map maar daar is het bestand niet aanwezig en wordt de aanduiding (File Missing) aan de regel toegevoegd.
Het register van een 64bit versie van Windows is dan ook verdeeld in 32 & 64 bits sleutels, de 32 bits sleutels worden in het register weergegeven onder de volgende sleutels.
HKEY_CURRENT_USER\Software\WOW6432Node
HKEY_LOCAL_MACHINE\Software\WOW6432Node
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node
HKEY_USERS\*\SOFTWARE\Classes\Wow6432Node
Meer informatie en uitleg staat beschreven op de onderstaande links.
1
Administrator
Administrator
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)