Hollows_Hunter は、パッシブメモリスキャナ PE-sieve に基づいたコマンドラインアプリケーションです。その主な機能は、置き換えられた/埋め込まれた PE、シェルコード、フック、およびメモリ内のパッチなど、潜在的に悪意のあるさまざまなタイプのインプラントを特定し、「ダンプ」することです。
高度なプロセス選択: PE-sieve とは異なり、PID(プロセス識別子)だけでプロセスを選択することができるのに対し、Hollows Hunter はさまざまな基準に基づいてプロセスを選択する機会を提供します:
完全スキャン: 特定のターゲットが選択されていない場合、ソフトウェアはシステム内のすべての利用可能なプロセスをスキャンします。
継続的スキャン: Hollows Hunter は、/loop 引数を使用してメモリの継続的なスキャンを実行するように構成したり、/etw モード(64ビット版のみ)で ETW(Windows のイベントトレース)リスナーとして実行したりできます。
これらの機能により、Hollows Hunter はメモリ内の悪意のあるインプラントを特定するための強力なツールとなり、Windows システムのセキュリティ分析に不可欠です。