背景 是这样的：某高人写的library里判断了新sock出来的socket的文件句柄要>0，且不谈这个assertion是否，我们的系统在运行到某个时间后，会不满足这个断言，说明有人把stdin给关了。

   仔细想了一下，没有什么地方是需要把stdin关闭掉的，只能说明程序里有bug，比如某个fd被错误的赋予了0这个初始值，在没有初始化的情况下被关闭了。这是个bug。首先想到的办法是在所有调用close的地方都加上日志，这个工作量巨大，而且很容易出现遗露。其实在Linux里可以通过插入so的方式，hook某些动态连接库里的函数。只要用户没有选择静态编译，就会调用我们替换的版本。经过一翻Google，主要参考了 这篇 文章。最后成品的代码如下：

   my_close.c

#define _GNU_SOURCE
#include <dlfcn.h>
#include <assert.h>

typedef int (*orig_close_f_type)(int fd);

int close(int fd)
{
    /* Some evil injected code goes here. */
    assert(fd > 0);
    orig_close_f_type orig_close;
    orig_close = (orig_close_f_type)dlsym(RTLD_NEXT, "close");
    return orig_close(fd);
}

   使用这个方法编译：

gcc -g -shared -fPIC my_close.c -o my_close.so -ldl

   然后在运行程序前定义LD_PRELOAD，方法为

export LD_PRELOAD=$PWD/my_close.so
./run_your_app

   或者

LD_PRELOAD=$PWD/my_close.so ./run_your_app

   如上代码在调用close时，如果fd等于0，会coredump。

建议继续学习：

1. Apache2中俩种设置PHP的异同    (阅读：6176)
2. SVN Hook造成SVN提交速度慢的问题    (阅读：6007)
3. 解读PHP开源项目中列表和hook方法：while(has_items()): thme_ite();和apply_filters    (阅读：2767)
4. IOS安全—阻止tweak注入hook api    (阅读：1702)