您应该分两步进行：

首先：您需要查看MoonSols Windows Memory Toolkit Community Edition。它将允许您将内存转储到文件以供进一步分析

第二：那么您将需要Volatility Toolkit来分析转储文件并从中提取信息、二进制文件、DLL 等。

对于很好的示例：使用波动率 - 查看 Andre DiMino的关于Cridex的博客文章

我同意丹尼斯的回答，但对我来说，步0开始捕蝇纸，从HBGary。

HBGary Flypaper 是您对抗恶意软件的宝贵工具。大多数恶意软件被设计成两阶段或三阶段部署。首先，dropper 程序会启动第二个程序，然后删除自身。第二个程序可能会采取额外的步骤，例如将 DLL 注入其他进程、加载 rootkit 等。这些步骤进行得很快，分析人员可能难以捕获部署中使用的所有二进制文件。HBGary Flypaper 为分析师解决了这个问题。

HBGary Flypaper 作为设备驱动程序加载并阻止所有退出进程、结束线程或删除内存的尝试。恶意软件使用的所有组件将保留在进程列表中，并将保留在物理内存中。报告了整个执行链，因此您可以遵循每个步骤。然后，一旦您转储物理内存以进行分析，您就会将所有组件“冻结”在内存中 - 没有任何内容被卸载。所有的证据都在你身边。

正如其他人提到的，您应该做的第一件事是使用 MoonSols 转储内存。这将允许您稍后使用 Volatility 进行内存分析。在恶意软件分析方面，我发现 IDA 最有用。为了使它有用，您将需要一个进程转储和一种重建导入表的方法。如果恶意软件可以传播到其他进程，我会创建一个虚拟进程，转储它然后重建导入表。例如，如果恶意软件注入 iexplore.exe，打开 Ollydbg 将调试选项事件更改为 System Breakpoint，打开 iexplore.exe，然后搜索 RWX 的内存（描述在这里）。检查内存的内容，如果它包含你的内存恶意软件转储进程，然后重建导入表。如果您需要手动重建导入表，您可以使用以下脚本。如果进程没有传播，您可以通过调试器附加到进程。

免责声明：我是这些链接的作者。

MoonSols 和波动率是一种选择。

另一组选项是Redline和Memoryze，它们都来自 Mandiant。

Memoryze 的另一个好处是包括内存获取。