背景技術

計算環境中的安全問題可以通過對計算環境的存儲器的內容的取證分析的過程來發現。例如，可以在計算設備的存儲器上執行取證分析過程，以搜索安全問題，例如惡意代碼(或“惡意軟件”)的存在。在這樣的例子中，通過調查存儲器中的遺跡(例如正在運行或最近運行過的進程，網絡連接，打開的文件，命令歷史等)，取證分析過程可以揭示惡意軟件如何隱藏以及它如何行動。

附圖說明

以下具體實施方式參考了附圖，在附圖中：

圖1是用于將存儲器控制器配置用于寫時復制(copy-on-write)的示例性計算設備的框圖；

圖2是具有用于將存儲器控制器配置用于寫時復制的管理子系統的示例性計算設備的框圖；

圖3是包括用于將存儲器控制器配置用于寫時復制的示例性系統的示例性計算設備的框圖；

圖4是用于將存儲器控制器配置用于寫時復制的示例性方法的流程圖；且

圖5是響應于完整性違例來將存儲器控制器配置用于寫時復制的示例性方法的流程圖。

具體實施方式

如上所述，對于計算設備的取證分析可以涉及分析計算設備的存儲器的內容以檢測安全問題，例如惡意軟件的存在。在一些示例中，可以拍攝存儲器內容的快照，以便可以通過取證分析過程來分析快照。在這里描述的示例中，存儲器的一部分的“快照”是在給定時間存在于存儲器中的已存儲的數據的集合。

在一些示例中，當拍攝快照以獲得存儲器的精確快照時，可以將正在執行的操作系統(OS)或虛擬機(VM)暫停。然而，這樣的暫停會破壞由OS或VM所提供的服務，并且在某些情況下可能會被惡意軟件檢測到，作為響應，惡意軟件可能逃避檢測。在其它示例中，快照可以在運行中的進程(例如，OS，VM或應用程序)連續在存儲器上操作時拍攝。這樣的示例可能不具有如上所述的系統暫停的缺點，但是可能轉而導致包括不一致或不準確的快照，因為正在運行的進程在正在拍攝快照時修改存儲器。

為了解決這些問題，本文所描述的示例可以通過配置存儲器控制器來拍攝存儲器的一部分的基本上即時的就地快照，以將存儲器的該部分視為對于可能會改變存儲器(例如，在執行操作系統時)的第一組件的寫時復制，而不是要對快照進行取證分析的第二組件的寫時復制。以這種方式，通過以這種方式配置存儲器控制器，可以保護存儲器的要分析的部分不被改變，從而創建存儲器的就地快照，同時允許可寫入存儲器的組件繼續其操作而基本上不中斷，這是通過執行對與快照分離的其它存儲器的寫入。

本文描述的示例可以包括計算設備，其包括通過基于分組的存儲器結構互連的第一和第二硬件組件，以及經由對于第一和第二組件將位置標識符映射到可訪問存儲器的初始存儲器位置的存儲器控制器、對于第一組件可訪問的存儲器。在這樣的示例中，管理子系統可以確定拍攝第一組件可訪問的存儲器的快照，并且作為響應可以配置存儲器控制器將位置ID視為對于第一組件的而不是對于第二組件的寫時復制。在這樣的示例中，響應于包括標識第一組件作為源并且對于寫入操作指示位置ID中的給定一個的信息的寫入分組，存儲器控制器可以創建給定位置ID到第一組件的備用存儲器位置的寫時復制映射。在這樣的示例中，在創建寫時復制映射之后，并且響應于包括標識第二組件作為源并且對于讀取操作指示給定位置ID的信息的讀取分組，存儲器控制器可以返回存儲在給定位置ID對于第二組件所映射到的初始存儲器位置中的數據。

以這種方式，本文所描述的示例可以通過將管理對于第一組件為可訪問的存儲器的存儲器控制器配置為：拍攝對于第一組件為可訪問的存儲器的快照作為第一組件的寫時復制，從而凍結可訪問存儲器的當前內容，同時還允許至少部分地在第一組件上執行的進程(例如，OS)繼續操作而沒有大量中斷。另外，通過使得第二組件能夠繼續訪問將不被第一組件改變的初始存儲器位置，至少部分地在第二組件上執行的進程(例如，取證分析系統)可以在不會被任何繼續操作的第一組件進程所改變的存儲器快照上操作。以這種方式，本文所描述的示例可以使得能夠在正在操作的進程(例如，OS)中沒有實質性暫停且不會將不一致性引入到快照中的情況下拍攝和分析存儲器快照。

現在參考附圖，圖1是用于將存儲器控制器130配置用于寫時復制(copy-on-write)的示例性計算設備100的框圖。計算設備100包括多個硬件組件，多個硬件組件包括第一組件102和第二組件104。硬件組件被互連以使用基于分組的存儲器結構101進行通信。