Hollows_Hunter, pasif bellek tarayıcısı PE-sieve tabanlı bir komut satırı uygulamasıdır. Ana işlevi, değiştirilmiş/yerleştirilmiş PE'ler, shellcode'lar, hook'lar ve bellek üzerindeki yamalar gibi çeşitli potansiyel zararlı implantları tanımlamak ve "dump" etmektir.
Gelişmiş Süreç Seçimi: PE-sieve'den farklı olarak, yalnızca PID (süreç tanımlayıcısı) ile süreçleri seçmeye olanak tanımaz, Hollows Hunter, süreçleri çeşitli kriterlere göre seçme imkanı sunar:
Tam Tarama: Belirli bir hedef seçilmediğinde, yazılım sistemdeki tüm mevcut süreçleri tarar.
Sürekli Tarama: Hollows Hunter, /loop argümanı kullanarak sürekli bellek taraması yapmak için yapılandırılabilir veya /etw modunda bir ETW (Event Tracing for Windows) dinleyici olarak çalıştırılabilir (yalnızca 64-bit sürüm).
Bu işlevselliklerle Hollows Hunter, bellekteki zararlı implantları tespit etmek için güçlü bir araç haline gelir ve bu da onu Windows sistemlerinde güvenlik analizi için vazgeçilmez kılar.