Итак, в этом случае мы уже знаем, что рассматриваемый системный вызов был setrlimit
. Поиск по запросу setrlimit
показывает, что существует функция библиотеки C с тем же именем, которая является оболочкой для системного вызова.
Документация функции указывает, что первый аргумент («a0» в строке SYSCALL из журнала аудита) указывает на рассматриваемый ресурс, но руководство сообщает нам только имена символов, а не числовое значение. Однако он сообщает нам, что символы определены в заголовочном файле sys / resource.h
. Однако этот файл не содержит фактических значений.
Чтобы получить числовые значения, мы смотрим в sysdeps / unix / sysv / linux / bits / resource.h .Там мы находим различные макросы RLIMIT_, определенные.
Глядя на них, мы можем узнать, какой ресурс пытались изменить. В этом случае a0 = 1, и макрос, соответствующий 1, оказывается RLIMIT_FSIZE.