hasherezade/hollows_hunter

# hollows_hunter  [](https://ci.appveyor.com/project/hasherezade/hollows-hunter) [](https://app.codacy.com/gh/hasherezade/hollows_hunter/dashboard?branch=master) [](https://github.com/hasherezade/hollows_hunter/commits) [](https://github.com/hasherezade/hollows_hunter/commits) [](https://github.com/hasherezade/hollows_hunter/releases) [](https://github.com/hasherezade/hollows_hunter/releases) [](https://github.com/hasherezade/hollows_hunter/releases) [](https://github.com/hasherezade/hollows_hunter/releases) [](https://github.com/hasherezade/hollows_hunter/blob/master/LICENSE) [](https://github.com/hasherezade/hollows_hunter) Hollows Hunter 是一款基于 [PE-sieve](https://github.com/hasherezade/pe-sieve.git) 被动内存扫描器的命令行应用程序。它能识别并转储各种潜在的恶意植入物（被替换/植入的 PE、shellcode、钩子、内存补丁）。虽然在使用 PE-sieve 时你只能通过 PID 选择进程，但 Hollows Hunter 允许通过各种标准来选择进程，例如： + PID 列表 + 名称列表 + 创建时间（相对于 Hollows Hunter 的执行时间） 如果未选择特定目标，它将继续扫描所有可用进程。 Hollows Hunter 还允许通过 `/loop` 参数进行连续内存扫描，或者作为 ETW 监听器运行：在 `/etw` 模式下（仅限 64 位版本）。 📦 使用：[PE-sieve](https://github.com/hasherezade/pe-sieve.git)（[库版本](https://github.com/hasherezade/pe-sieve/wiki/2.-How-to-build)）。 ❓ [PE-sieve FAQ - 常见问题解答](https://github.com/hasherezade/pe-sieve/wiki/1.-FAQ) 📖 [阅读 Wiki](https://github.com/hasherezade/hollows_hunter/wiki) ## 克隆 请使用递归克隆来获取仓库及其所有子模块： ``` git clone --recursive https://github.com/hasherezade/hollows_hunter.git ``` ## 构建 下载最新的 [发布版本](https://github.com/hasherezade/hollows_hunter/releases)，或者[了解更多](https://github.com/hasherezade/hollows_hunter/wiki#download)。  也可通过 [Chocolatey](https://community.chocolatey.org/packages/hollowshunter) 获取

标签：Conpot, EDR, Hook检测, PE文件分析, Ruby on Rails, SecList, SSH蜜罐, UML, Windows安全, 云资产清单, 内存取证, 内存转储, 客户端加密, 库, 应急响应, 无文件攻击检测, 端点可见性, 网络安全, 脆弱性评估, 进程扫描, 进程注入, 进程镂空, 逆向工程, 隐私保护