Hollows_Hunter är en kommandoradsapplikation baserad på den passiva minnesskannern PE-sieve. Dess huvudsakliga funktion är att identifiera och göra "dump" av olika typer av potentiellt skadliga implantationer, såsom ersatta/implantaterade PE, shellcodes, hooks och patches i minnet.
Avancerad Processval: Till skillnad från PE-sieve, som endast låter användare välja processer baserat på PID (processidentifierare), erbjuder Hollows Hunter möjlighet att välja processer baserat på olika kriterier:
Fullständig Skanning: Om inget specifikt mål väljs, genomför programmet en skanning av alla tillgängliga processer i systemet.
Kontinuerlig Skanning: Hollows Hunter kan konfigureras för att genomföra en kontinuerlig minnesskanning med hjälp av argumentet /loop eller köras som en ETW (Event Tracing for Windows) lyssnare i /etw läget (endast 64-bit version).
Med dessa funktioner blir Hollows Hunter ett kraftfullt verktyg för att identifiera skadliga implantationer i minnet, vilket gör den väsentlig för säkerhetsanalys i Windows-system.