Hollows_Hunter adalah aplikasi baris perintah yang berbasis pada pemindai memori pasif PE-sieve. Fungsi utamanya adalah untuk mengidentifikasi dan melakukan "dump" berbagai jenis implant yang berpotensi berbahaya, seperti PE yang diganti/ditanam, shellcode, hooks, dan patch di memori.
Seleksi Proses Lanjutan: Berbeda dengan PE-sieve, yang hanya memungkinkan pemilihan proses berdasarkan PID (identifikasi proses), Hollows Hunter menawarkan kemungkinan untuk memilih proses berdasarkan berbagai kriteria:
Pemindaian Lengkap: Jika tidak ada target spesifik yang dipilih, perangkat lunak akan memindai semua proses yang tersedia di sistem.
Pemindaian Berkelanjutan: Hollows Hunter dapat dikonfigurasi untuk melakukan pemindaian memori secara berkelanjutan menggunakan argumen /loop atau dijalankan sebagai pendengar ETW (Event Tracing for Windows) dalam mode /etw (hanya versi 64-bit).
Dengan fungsi-fungsi ini, Hollows Hunter menjadi alat yang kuat untuk mengidentifikasi implant berbahaya di memori, menjadikannya penting untuk analisis keamanan di sistem Windows.