本发明针对传统内存取证方法应对Rootkit隐遁攻击不力的安全困境，通过借鉴生物免疫系统原理，提出了一种基于免疫的Rootkit隐遁攻击内存取证技术。通过完整获取内存镜像数据、详尽解析内存数据，实现动态智能提取Rootkit隐遁攻击的内存证据。首先，通过逆向分析Windows内存页面交换机制，获取完整的内存镜像数据(物理内存和页面交换文件)。其次，利用内核驱动技术，动态分析内存镜像中的进程数据，并重建与进程相对应的可执行文件映像。最后，借鉴人体免疫系统机理，利用Rootkit检测器(免疫细胞)的动态演化来提取Rootkit隐遁攻击的相关证据。本发明能动态、智能地对Rootkit隐遁攻击进行内存取证，确保其无处遁形，为绳之以法网络攻击者(黑客)提供呈堂证供。