578_linux内核学习_audit_ptree函数分析

     

         继续看内核代码，这次看一个很有意思的调试检测函数，audit_ptree。最初看这个函数的时候有点蒙圈，但是把树状结构的关系结合社会关系做一个类比，其实理解起来很容易。

         这个函数基本就是用来做测试的，毕竟是对一系列任务进行扫描检查，数量不小。

         首先需要确认的是一切任务（包括父子进程）都应该在列表之内，或者为空。

         接下来就是看看，有没有错了辈分。

         如果辈分错不了，并且没有血缘不清楚的人员，那么一切就OK。

         至于这个函数的应用，目前找到了2个地方。暂且不对这两个地方做说明了，后面的分析会继续提到。