Portanto, neste caso, já sabemos que o syscall em questão é setrlimit
. Uma pesquisa por setrlimit
revela que há uma função da biblioteca C com o mesmo nome que envolve o syscall.
A documentação da função indica que o primeiro argumento ("a0 "na linha SYSCALL do log de auditoria) indica o recurso em questão, mas o manual nos informa apenas os nomes dos símbolos, não o valor numérico. No entanto, nos informa que os símbolos são definidos no arquivo de cabeçalho sys/resource.h
. No entanto, esse arquivo não contém os valores reais.
Para obter os valores numéricos, verificamos em sysdeps/unix/sysv/linux/bits/resource.h . Lá, encontramos as várias macros RLIMIT_ definidas.
Olhando para esses, podemos descobrir qual recurso tentou ser modificado. Neste caso, a0 = 1, e a macro correspondente a 1 acaba por ser RLIMIT_FSIZE.