Hollows_Hunter jest aplikacją wiersza poleceń opartą na skanera pamięci pasywnej PE-sieve. Jej główną funkcją jest identyfikowanie i tworzenie zrzutów różnych typów implantów potencjalnie złośliwych, takich jak PE zastąpione/zaimplantowane, shellcode, haki i łatki w pamięci.
Zaawansowany Wybór Procesów: W przeciwieństwie do PE-sieve, który pozwala na wybór procesów tylko na podstawie PID (identyfikator procesu), Hollows Hunter oferuje możliwość wyboru procesów na podstawie różnych kryteriów:
Kompletne Skanowanie: W przypadku braku wybranego konkretnego celu, oprogramowanie skanuje wszystkie dostępne procesy w systemie.
Ciężkie Skanowanie: Hollows Hunter może być skonfigurowany do przeprowadzania ciągłego skanowania pamięci przy użyciu argumentu /loop lub być uruchamiany jako nasłuchiwacz ETW (Event Tracing for Windows) w trybie /etw (tylko wersja 64-bitowa).
Dzięki tym funkcjom, Hollows Hunter staje się potężnym narzędziem do identyfikacji złośliwych implantów w pamięci, czyniąc go niezbędnym dla analizy bezpieczeństwa w systemach Windows.