Hollows_Hunter é uma aplicação de linha de comando baseada no escaneador de memória passiva PE-sieve. Sua principal função é identificar e fazer o "dump" de diversos tipos de implantes potencialmente maliciosos, como PE substituídos/implantados, shellcodes, hooks e patches na memória.
Seleção Avançada de Processos: Diferente do PE-sieve, que permite selecionar processos apenas pelo PID (identificador de processo), o Hollows Hunter oferece a possibilidade de escolher processos com base em diversos critérios:
Varredura Completa: Caso nenhum alvo específico seja selecionado, o software realiza a varredura de todos os processos disponíveis no sistema.
Escaneamento Contínuo: O Hollows Hunter pode ser configurado para realizar uma varredura contínua de memória utilizando o argumento /loop ou ser executado como um ouvinte ETW (Event Tracing for Windows) no modo /etw (somente versão 64-bit).
Com essas funcionalidades, o Hollows Hunter se torna uma ferramenta poderosa para identificar implantes maliciosos na memória, tornando-o essencial para a análise de segurança em sistemas Windows.