hollows_hunter
すべての実行中のプロセスをスキャンします。様々な潜在的な悪意のあるインプラント(置き換え/埋め込まれたPE、シェルコード、フック、メモリ内パッチ)を認識してダンプします。
PE-sieveに基づくアプリケーションです(ライブラリバージョン)。したがって、この2つの間には機能の大きな重複があります。同様のコマンドラインインターフェースを持っていますが、PE-sieveが単一プロセスのスキャンに特化したエンジンである一方で、Hollows Hunterはこの基盤の上に多くの追加機能とフィルターを提供します。
機能
Hollows Hunter vs PE-sieve
Hollows HunterはすべてのPE-sieve機能にアクセスできるため、PE-sieve wikiの機能リストが関連しています。
PE-sieveとは対照的に、HollowsHunterは複数のプロセスを1つずつスキャンします。
ノイズを避けるため、デフォルトのPE-sieve機能の1つ(コードパッチとフックのスキャン)はHollowsHunterではデフォルトではありません。/hooksパラメータで有効にできます。
スキャンするプロセスの選択
デフォルトでは、HollowsHunterはアクセス可能なすべてのプロセスをスキャンします。ただし、スキャンをより焦点を絞ることができ、関心のあるプロセスのみを選択できます。選択できる基準がいくつかあります:
- 名前別(パラメータ /pname)
- PID別(パラメータ /pid)
- プロセス作成時間別(パラメータ /ptimes)– HollowsHunterの開始を基準とした相対時間
PIDは10進数または16進数で指定できます。
PE-sieveとは対照的に、1つのプロセスのみを選択できますが、HollowsHunterではリストを指定できます。/pnameと/pidの両方で複数の要素を指定でき、;で区切られます。
例:
- hollows_hunter.exe /pname svchost.exe;explorer.exe – svchost.exeとexplorer.exeという名前のプロセスのみをスキャンします
- hollows_hunter.exe /pid 456;123 – PIDが456と123のプロセスのみをスキャンします
出力ディレクトリ
PE-sieveとHollowsHunterの両方で、/dirパラメータを使用してダンプが保存される出力ディレクトリを指定できます。選択されていない場合、出力はアプリケーションが実行された現在のディレクトリに保存されます。
さらに、HollowsHunterは/uniqdパラメータを提供します – 各スキャンでタイムスタンプ付きの一意のディレクトリを作成し、前回のダンプの内容が上書きされないようにします。
/dir <out_dir>と/uniqdパラメータの両方を使用する場合、<out_dir>はルートディレクトリとして使用され、ダンプを含む一意のディレクトリがそこに作成されます。
継続的なスキャン
単一のスキャンでは不十分な場合があり、HollowsHunterをループで実行することが望ましいことがあります。/loopパラメータを使用すればできます。ループ内のすべてのプロセスをスキャンするのはプロセッサを消費する可能性があることに注意してください。したがって、時々のみ使用し、選択されたプロセスのみに使用することをお勧めします。
この機能は、例えば、マルウェアをアンパックしており、特定の名前のプロセスにインジェクションを行う時点を予期している場合に有用です。ループでスキャンすると、この瞬間をキャプチャするのに役立ちます。
検出されたプロセスの削除または中断
疑わしいプロセスが検出および報告された後、それらについて何かを行うことを選択できます。2つのオプションがあります:
- /suspend – プロセスを中断します
- /kill – プロセスを終了します
ダウンロード
Copyright (c) 2018-2022, @hasherezade
All rights reserved.
