Hollows_Hunter là một ứng dụng dòng lệnh dựa trên bộ quét bộ nhớ thụ động PE-sieve. Chức năng chính của nó là xác định và thực hiện "dump" nhiều loại cài đặt tiềm năng độc hại, như PE bị thay thế/cài đặt, shellcodes, hooks và patches trong bộ nhớ.
Chọn Lọc Nâng Cao Các Quy Trình: Khác với PE-sieve, cho phép chọn quy trình chỉ bằng PID (định danh quy trình), Hollows Hunter cung cấp khả năng chọn quy trình dựa trên nhiều tiêu chí khác nhau:
Quét Toàn Diện: Nếu không có mục tiêu cụ thể nào được chọn, phần mềm sẽ quét tất cả các quy trình có sẵn trong hệ thống.
Quét Liên Tục: Hollows Hunter có thể được cấu hình để thực hiện quét liên tục bộ nhớ bằng cách sử dụng đối số /loop hoặc được thực hiện như một bộ lắng nghe ETW (Event Tracing for Windows) ở chế độ /etw (chỉ phiên bản 64-bit).
Với những chức năng này, Hollows Hunter trở thành một công cụ mạnh mẽ để xác định các cài đặt độc hại trong bộ nhớ, làm cho nó trở nên thiết yếu cho phân tích an ninh trên các hệ thống Windows.