جرم شناسی حافظه به معنای، جمع آوری و تحلیل اطلاعات از محتوای حافظه کامپیوتر می باشد، به عبارت دیگر، این فرایند به یافتن و استخراج اثرات مخرب بدافزار از حافظه فیزیکی کامپیوتر اشاره دارد. حافظه فیزیکی شامل اطلاعات ضروری در مورد وضعیت زمان اجرای برنامه ها در سیستم می باشد. با گرفتن یک نسخه کامل از محتویات حافظ و تجزیه و تحلیل آن روی یک سیستم مورد اعتماد، بازسازی وضعیت اصلی سیستم امکان پذیر است. این وضعیت شامل برنامه های کاربردی در حال اجرا، فایل های مورد استفاده برنامه ها، اتصالات فعال شبکه و بسیاری از اثرات دیگر می باشد؛ بنابراین بررسی محتویات حافظه برای به دست آوردن اطلاعات صحیح در مورد پردازه ها بسیار مهم است. استفاده از تحلیل حافظه به فرایند تشخیص باز شدن فشردگی کد، تشخیص روت کیت و مهندسی معکوس کمک می کند. جدا کردن فرایند تحلیل به عنوان یک ویژگی مهم در این روش مطرح است. در واقع این روش امکان تحلیل و تشخیص بدافزار، از خارج سیستم آلوده و ایجاد یک نقطه دید بی طرف را فراهم می کند. روت کیت ها با قلاب شدن به توابع سیستم عامل و ارسال اطلاعات نادرست به ابزارهای ناظر نصب شده در سیستم از تشخیص اثرات مخرب جلوگیری می کنند. به عنوان مثال حضور یک فایل یا پردازه در حال اجرا را پنهان می کنند. در روش های تحلیل حافظه، این نوع روت کیت ها نمی توانند مانع از دسترسی به اثرات مخرب در محتوای حافظه شوند. ابزارهای جرم شناسی حافظه از فراخوانی توابع سیستم عامل برای جمع آوری شواهد استفاده نمی کنند و تصویر حافظه را به صورت مستقیم پویش می کنند.