Hollows_Hunter è un'applicazione da riga di comando basata sullo scanner di memoria passiva PE-sieve. La sua principale funzione è identificare e fare il "dump" di vari tipi di impianti potenzialmente dannosi, come PE sostituiti/impiantati, shellcode, hooks e patch nella memoria.
Selezione Avanzata dei Processi: A differenza del PE-sieve, che consente di selezionare i processi solo tramite il PID (identificatore di processo), il Hollows Hunter offre la possibilità di scegliere i processi in base a vari criteri:
Scansione Completa: Se non viene selezionato alcun obiettivo specifico, il software esegue la scansione di tutti i processi disponibili nel sistema.
Scansione Continua: Il Hollows Hunter può essere configurato per eseguire una scansione continua della memoria utilizzando l'argomento /loop o essere eseguito come listener ETW (Event Tracing for Windows) in modalità /etw (solo versione a 64 bit).
Con queste funzionalità, il Hollows Hunter diventa uno strumento potente per identificare impianti dannosi nella memoria, rendendolo essenziale per l'analisi della sicurezza nei sistemi Windows.