[发明专利]用于写时复制的存储器控制器的配置

说明书

背景技术

计算环境中的安全问题可以通过对计算环境的存储器的内容的取证分析的过程来发现。例如，可以在计算设备的存储器上执行取证分析过程，以搜索安全问题，例如恶意代码(或“恶意软件”)的存在。在这样的例子中，通过调查存储器中的遗迹(例如正在运行或最近运行过的进程，网络连接，打开的文件，命令历史等)，取证分析过程可以揭示恶意软件如何隐藏以及它如何行动。

附图说明

以下具体实施方式参考了附图，在附图中：

图1是用于将存储器控制器配置用于写时复制(copy-on-write)的示例性计算设备的框图；

图2是具有用于将存储器控制器配置用于写时复制的管理子系统的示例性计算设备的框图；

图3是包括用于将存储器控制器配置用于写时复制的示例性系统的示例性计算设备的框图；

图4是用于将存储器控制器配置用于写时复制的示例性方法的流程图；且

图5是响应于完整性违例来将存储器控制器配置用于写时复制的示例性方法的流程图。

具体实施方式

如上所述，对于计算设备的取证分析可以涉及分析计算设备的存储器的内容以检测安全问题，例如恶意软件的存在。在一些示例中，可以拍摄存储器内容的快照，以便可以通过取证分析过程来分析快照。在这里描述的示例中，存储器的一部分的“快照”是在给定时间存在于存储器中的已存储的数据的集合。

在一些示例中，当拍摄快照以获得存储器的精确快照时，可以将正在执行的操作系统(OS)或虚拟机(VM)暂停。然而，这样的暂停会破坏由OS或VM所提供的服务，并且在某些情况下可能会被恶意软件检测到，作为响应，恶意软件可能逃避检测。在其它示例中，快照可以在运行中的进程(例如，OS，VM或应用程序)连续在存储器上操作时拍摄。这样的示例可能不具有如上所述的系统暂停的缺点，但是可能转而导致包括不一致或不准确的快照，因为正在运行的进程在正在拍摄快照时修改存储器。

为了解决这些问题，本文所描述的示例可以通过配置存储器控制器来拍摄存储器的一部分的基本上即时的就地快照，以将存储器的该部分视为对于可能会改变存储器(例如，在执行操作系统时)的第一组件的写时复制，而不是要对快照进行取证分析的第二组件的写时复制。以这种方式，通过以这种方式配置存储器控制器，可以保护存储器的要分析的部分不被改变，从而创建存储器的就地快照，同时允许可写入存储器的组件继续其操作而基本上不中断，这是通过执行对与快照分离的其它存储器的写入。

本文描述的示例可以包括计算设备，其包括通过基于分组的存储器结构互连的第一和第二硬件组件，以及经由对于第一和第二组件将位置标识符映射到可访问存储器的初始存储器位置的存储器控制器、对于第一组件可访问的存储器。在这样的示例中，管理子系统可以确定拍摄第一组件可访问的存储器的快照，并且作为响应可以配置存储器控制器将位置ID视为对于第一组件的而不是对于第二组件的写时复制。在这样的示例中，响应于包括标识第一组件作为源并且对于写入操作指示位置ID中的给定一个的信息的写入分组，存储器控制器可以创建给定位置ID到第一组件的备用存储器位置的写时复制映射。在这样的示例中，在创建写时复制映射之后，并且响应于包括标识第二组件作为源并且对于读取操作指示给定位置ID的信息的读取分组，存储器控制器可以返回存储在给定位置ID对于第二组件所映射到的初始存储器位置中的数据。

以这种方式，本文所描述的示例可以通过将管理对于第一组件为可访问的存储器的存储器控制器配置为：拍摄对于第一组件为可访问的存储器的快照作为第一组件的写时复制，从而冻结可访问存储器的当前内容，同时还允许至少部分地在第一组件上执行的进程(例如，OS)继续操作而没有大量中断。另外，通过使得第二组件能够继续访问将不被第一组件改变的初始存储器位置，至少部分地在第二组件上执行的进程(例如，取证分析系统)可以在不会被任何继续操作的第一组件进程所改变的存储器快照上操作。以这种方式，本文所描述的示例可以使得能够在正在操作的进程(例如，OS)中没有实质性暂停且不会将不一致性引入到快照中的情况下拍摄和分析存储器快照。

现在参考附图，图1是用于将存储器控制器130配置用于写时复制(copy-on-write)的示例性计算设备100的框图。计算设备100包括多个硬件组件，多个硬件组件包括第一组件102和第二组件104。硬件组件被互连以使用基于分组的存储器结构101进行通信。