Serangan email spoofing dan phishing merupakan ancaman siber yang semakin sering digunakan untuk mencuri informasi sensitif, baik pada individu maupun organisasi. Teknik forensik memori (live memory forensics) menjadi salah satu pendekatan penting untuk mengidentifikasi artefak serangan yang tidak terekam dalam media penyimpanan tradisional, mengingat banyak aktivitas berbahaya hanya berlangsung di memori aktif. Penelitian ini bertujuan untuk menganalisis bukti digital yang tersimpan dalam memori selama terjadinya serangan email spoofing dan phishing, dengan fokus pada proses berbahaya, koneksi jaringan yang mencurigakan, payload yang dijalankan, serta indikator kompromi (IoC) lainnya. Metodologi penelitian meliputi akuisisi memori secara live menggunakan memory dumping tools, diikuti analisis terperinci menggunakan forensic frameworks seperti Volatility untuk mengekstraksi dan menginterpretasi artefak yang relevan. Hasil analisis menunjukkan bahwa serangan meninggalkan jejak signifikan pada memori, termasuk proses tidak sah, skrip berbahaya, data kredensial yang berhasil dicuri, hingga penggunaan teknik obfuscation dan anti-forensic oleh penyerang. Selain itu, penelitian ini menegaskan bahwa analisis memori mampu mengungkap aktivitas serangan yang tidak terlihat melalui metode forensik tradisional. Temuan ini memperkuat peran live memory forensics sebagai komponen penting dalam investigasi insiden siber serta memberikan rekomendasi bagi praktisi keamanan untuk meningkatkan deteksi, mitigasi, dan respons terhadap serangan berbasis email.