Hollows_Hunter is een op de commandoregel gebaseerde applicatie die gebruikmaakt van de passieve geheugenscanner PE-sieve. De belangrijkste functie is het identificeren en "dumpen" van verschillende soorten potentiële kwaadaardige implantaten, zoals vervangingen/implantaties van PE, shellcodes, hooks en patches in het geheugen.
Geavanceerde Processelectie: In tegenstelling tot PE-sieve, dat alleen processelectie op basis van PID (procesidentificator) toestaat, biedt de Hollows Hunter de mogelijkheid om processen te kiezen op basis van verschillende criteria:
Volledige Scanning: Als er geen specifiek doelwit is geselecteerd, voert de software een scan uit van alle beschikbare processen in het systeem.
Continue Scanning: De Hollows Hunter kan worden geconfigureerd om een continue geheugenscan uit te voeren met het argument /loop of als een ETW-luisteraar (Event Tracing for Windows) worden uitgevoerd in de /etw-modus (alleen 64-bits versie).
Met deze functionaliteiten wordt de Hollows Hunter een krachtige tool voor het identificeren van kwaadaardige implantaten in het geheugen, waardoor het essentieel wordt voor beveiligingsanalyse in Windows-systemen.