Memory dumps
Vynucení kompletní výpis virtuální paměti bude zachycovat aktivní rootkit (nebo výpis jádra v případě režimu jádra rootkit), což umožňuje v režimu offline forenzní analýzy, které mají být provedeny s debugger proti výsledného souboru výpisu, aniž rootkit schopnosti přijmout veškerá opatření, aby maskovat sebe. Tato technika je vysoce specializovaný, a mohou vyžadovat přístup k neveřejným zdrojového kódu nebo ladění symboly . Paměťové skládky iniciované operačním systémem nelze vždy použít k detekci hypervizoru bázi rootkit, který je schopen zachytit a subvert pokusy nejnižší úrovni ke čtení paměti -a Hardwarové zařízení, jako je například ten, který implementuje non maskable přerušení , může být požadováno, aby výpis paměti v tomto scénáři.