本申请公开了一种内存取证方法、装置及电子设备，该方法包括：在获取到物联网IOT样本时，通过操作系统内核态执行IOT样本中的中断指令；在检测到中断指令的执行过程符合第一预设规则时，通过预设方式访问IOT样本对应的内存地址空间；读取内存地址空间对应的内存数据，并基于所述内存数据对所述IOT样本进行内存取证。基于以上方法，在检测到IOT样本中的中断指令执行过程符合预设规则时，进一步访问IOT样本对应的内存地址空间，进而读取用于进行内存取证的内存数据，这种内存取证方式不需要模拟执行操作系统的操作指令，并且不需要IOT样本运行结束就可以快速获取IOT样本对应的内存数据，从而提高内存取证的效率与准确性。