WOW64とは【用語集詳細】
WOW64(Windows on Windows 64)は、32ビットWindowsベースのアプリケーションを64ビットWindows上で実行するためのエミュレーターです。
64ビット環境で32ビットアプリケーションを円滑に動作させるための互換レイヤーとしてOSに搭載されています。
32ビットプロセスを64ビット環境で実行する場合、WOW64は複数のDLLを利用しエミュレーション環境を生成します。
32ビットプロセスは本来このエミュレーション環境の中で実行されますが、WOW64環境をバイパスし、32ビットプロセスから直接64ビットコードを実行することにより、セキュリティツールの検知を回避する手法(Heaven's Gate)が存在します。
通常32ビットプロセスが実行された場合、セキュリティツールはWOW64 APIをフックします。このためマルウェアが直接64ビットAPIを利用した場合、検知を回避することが可能となります。
