Hollows_Hunter ist eine Befehlszeilenanwendung, die auf dem passiven Speicherscanner PE-sieve basiert. Ihre Hauptfunktion besteht darin, verschiedene Arten von potenziell bösartigen Implantaten zu identifizieren und deren "Dump" zu erstellen, wie z.B. ersetzte/implantierte PE-Dateien, Shellcodes, Hooks und Patches im Speicher.
Erweiterte Prozessauswahl: Im Gegensatz zu PE-sieve, das die Auswahl von Prozessen nur anhand der PID (Prozess-ID) erlaubt, bietet der Hollows Hunter die Möglichkeit, Prozesse anhand verschiedener Kriterien auszuwählen:
Komplette Scans: Wenn kein bestimmtes Ziel ausgewählt ist, führt die Software einen Scan aller verfügbaren Prozesse im System durch.
Kontinuierliches Scannen: Der Hollows Hunter kann so konfiguriert werden, dass er einen kontinuierlichen Speicherscan mittels des Arguments /loop durchführt oder als ETW (Event Tracing for Windows) Listener im /etw-Modus (nur 64-Bit-Version) ausgeführt wird.
Mit diesen Funktionen wird der Hollows Hunter zu einem leistungsstarken Werkzeug zur Identifizierung bösartiger Implantate im Speicher, was ihn unverzichtbar für die Sicherheitsanalyse in Windows-Systemen macht.