در دنیای امنیت سایبری، تحلیل رفتارهای مخرب و شناسایی نفوذها اغلب نیازمند بررسیهای عمیق در سطح سیستمعامل است. بخش بزرگی از این تحلیلها مربوط به سطح کرنل (Kernel Mode) ویندوز و رفتار توابع سیستمکال (Syscall) میشود. زیرشاخه Windows Kernel Forensics به طور ویژه روی: نحوه عملکرد و معماری سیستمکالها در ویندوز روشهای شناسایی و مقابله با تکنیکهای بایپس امنیتی مثل Hooking توسط EDR و آنتیویروسها تحلیل حافظه و رفتار برنامهها در سطح کرنل بررسی کدهای Assembly مرتبط با syscall و رجیسترها و مهارتهای عملی برای تشخیص حملات پیشرفته تمرکز دارد. این زیرشاخه به دانشجویان کمک میکند که فراتر از تحلیلهای سطح کاربر (User Mode) بروند و با جزئیات بیشتری درک کنند که چگونه سیستمعامل مدیریت منابع و دسترسیها را کنترل میکند و چطور مهاجمان میتوانند این مکانیزمها را دور بزنند.
