Hollows_Hunter est une application en ligne de commande basée sur le scanner de mémoire passive PE-sieve. Sa principale fonction est d'identifier et de faire le "dump" de divers types d'implants potentiellement malveillants, tels que des PE remplacés/implantés, des shellcodes, des hooks et des patches dans la mémoire.
Sélection Avancée des Processus : Contrairement à PE-sieve, qui permet de sélectionner des processus uniquement par le PID (identifiant de processus), Hollows Hunter offre la possibilité de choisir des processus selon divers critères :
Analyse Complète : Si aucun objectif spécifique n'est sélectionné, le logiciel effectue l'analyse de tous les processus disponibles sur le système.
Analyse Continue : Hollows Hunter peut être configuré pour effectuer une analyse continue de la mémoire en utilisant l'argument /loop ou être exécuté en tant qu'auditeur ETW (Event Tracing for Windows) en mode /etw (version 64 bits uniquement).
Avec ces fonctionnalités, Hollows Hunter devient un outil puissant pour identifier les implants malveillants dans la mémoire, le rendant essentiel pour l'analyse de sécurité sur les systèmes Windows.