内存取证主要通过对内存数据以及缓存在硬盘的数据进行分析，从中提取重要性数据。这些数据只存在运行的计算机中。一旦重启或者关机，这些数据就不再存在。Kali Linux提供专向工具Volatility实施内存取证工作。该工具支持多种内存转储文件，如原始文件、Windows的故障转储文件、休眠文件、虚拟机快照。Volatility可以分析Windows、Linux、Mac、Android多种操作系统平台，支持的操作系统版本有几十种。针对每种操作系统平台，Volatility提供不同的插件，提取不同类型的数据。例如，Linux内存插件linux_arp可以提取系统ARP表；苹果内存插件mac_bash可以提取用户bash操作历史记录；Windows内存插件dlllist可以提取进程加载的dll文件。