我会列出一些方法来做到这一点。显然还有很多其他人，很可能这里的其他人会补充。从那些开始，因为它们是最常用的。

1. 在调试恶意进程时，BP on WriteProcessMemory /NtMapViewOfSection API。这些用于将潜在的 DLL 复制/映射到远程进程中。在复制或映射完成之前，您可以将缓冲区转储到磁盘。查看上述 API 的手册以找到将复制到远程进程的本地缓冲区。
2. 或者，如果您不太了解恶意代码在做什么，您可以通过检查procmon的日志来跟踪它。一旦您在日志中看到 Mal-DLL 100% 完成的内容，您就可以打开该日志行并检查堆栈。堆栈会告诉您mal-DLL 驻留在哪个页面。如果您知道 DLL 驻留在受感染进程中的哪个内存页面，您可以使用例如Process Hacker通过单击进程并检查内存选项卡来转储此特定内存页面。
3. 或者，您可以转储受感染机器的整个内存并使用工具 - Volatility检查特定进程或所有进程的内存。