Hollows_Hunter — это командная утилита, основанная на пассивном сканере памяти PE-sieve. Ее основная функция заключается в выявлении и "дампе" различных типов потенциально вредоносных имплантов, таких как замененные/встраиваемые PE, shellcodes, хуки и патчи в памяти.
Расширенный выбор процессов: В отличие от PE-sieve, который позволяет выбирать процессы только по PID (идентификатору процесса), Hollows Hunter предлагает возможность выбора процессов на основе различных критериев:
Полное сканирование: Если конкретная цель не выбрана, программа выполняет сканирование всех доступных процессов в системе.
Непрерывное сканирование: Hollows Hunter может быть настроен для выполнения непрерывного сканирования памяти с использованием аргумента /loop или быть запущен как слушатель ETW (Event Tracing for Windows) в режиме /etw (только 64-битная версия).
С этими функциями Hollows Hunter становится мощным инструментом для выявления вредоносных имплантов в памяти, что делает его необходимым для анализа безопасности в системах Windows.