如何在Linux中查看二进制文件 Linux hexdump十六进制查看

在linux系统中，查看二进制文件最直接且常用的方法是使用

hexdump

命令，它能将文件内容以十六进制形式展示，并通常伴有ASCII字符的对应显示，这对于理解文件底层结构至关重要。

解决方案

要查看二进制文件，你可以使用

hexdump

命令。最常用且推荐的方式是结合

-C

参数，它会以“规范”的十六进制和ASCII格式输出，这对于人类阅读非常友好。

例如，如果你想查看一个名为

my_binary_file

的文件：

hexdump -C my_binary_file

这个命令的输出通常包含三列：

• 偏移量（Offset）：从文件开头算起的字节位置，通常以十六进制显示。
• 十六进制数据（Hexadecimal Data）：文件的原始字节内容，每16个字节为一行，以十六进制表示。
• ASCII表示（ASCII Representation）：对应十六进制数据的ASCII字符表示。不可打印的字符通常用点号（

  .

  ）代替。

你也可以使用其他参数来控制输出：

• -n <bytes>

  ：只显示文件开头的指定字节数。

• -s <offset>

  ：跳过文件开头的指定字节数，从该偏移量开始显示。

• -x

  ：只显示十六进制输出，没有ASCII列。

• -o

  ：以八进制显示偏移量。

比如，只看文件前64个字节：

hexdump -n 64 -C my_binary_file

从第128个字节开始看：

hexdump -s 128 -C my_binary_file

为什么我们需要查看二进制文件？

有时候，我们不得不深入到文件的原始字节层面。这听起来有点技术宅，但实际场景可不少。最常见的就是调试。当一个程序崩溃，或者数据传输出现问题时，我们可能需要检查核心转储文件（core dump）或者网络抓包文件，看看里面到底存了些什么“脏数据”。或者，你在处理一个未知的文件格式，想搞清楚它的头部信息、数据块是如何组织的，

hexdump

就是你的探照灯。

还有逆向工程，虽然这听起来很高大上，但简单的比如想看看某个配置文件是不是真的纯文本，或者某个“加密”文件是不是只是简单的异或了一下，

hexdump

都能提供线索。它能帮助我们识别文件中的特定模式、魔法数字（magic numbers）或者嵌入的字符串，这些都是理解文件内容的关键。

hexdump -C 参数的魔力在哪里？

hexdump -C

参数，在我看来，是这个工具最实用、最“有魔力”的地方。它不仅仅是简单地把字节转换成十六进制，更重要的是它提供了一个规范的、可读的视图。

想象一下，如果只是单纯的十六进制数字堆砌，比如

45 78 61 6d 70 6c 65 20 44 61 74 61

，你可能需要手动去查ASCII表才能知道它代表什么。但有了

-C

，它会直接在右侧给你显示

Example Data

。这种十六进制与ASCII的并排显示，极大地提高了我们对二进制数据的理解效率。

当你在查看一个图片文件、音频文件或者任何非文本文件时，

-C

能让你一眼看出哪些部分可能是文件头、哪些是数据区，甚至能快速定位到一些可打印的元数据（比如版权信息、文件名等）。它就像一个X光机，让你能穿透表象，直接看到文件的骨架和内脏。这种直观的呈现方式，是它真正强大的地方，也是为什么它成为我日常调试和分析二进制文件时的首选。

除了hexdump，还有哪些工具可以辅助分析二进制文件？

当然，

hexdump

并非唯一的利器，Linux生态中还有一些其他工具，它们在特定场景下能提供更深入或更便捷的帮助：

• xxd

  : 这个工具和

  hexdump

  功能类似，甚至在某些方面更灵活。例如，

  xxd -p

  可以生成纯粹的十六进制流，方便管道操作。它还能将十六进制数据“反向”转换回二进制，这在处理一些十六进制编码的数据时非常有用。

• strings

  : 如果你只是想从二进制文件中提取所有可打印的字符串（比如错误信息、配置路径、api调用名等），

  strings

  命令是你的不二选择。它能快速过滤掉大量的二进制噪声，直接呈现出人类可读的信息。这在快速侦察一个未知二进制文件时尤其有效。

• objdump

  /

  readelf

  : 对于可执行文件（如ELF格式的程序），

  hexdump

  只能看到原始字节，而

  objdump

  和

  readelf

  则能提供更高级的结构信息。

  readelf

  可以解析ELF文件的各个段（如

  .text

  ,

  .data

  ,

  .rodata

  ）、符号表、动态链接信息等。

  objdump -d

  则能将程序的机器码反汇编成汇编语言，这对于理解程序的执行逻辑至关重要。

• file

  : 虽然它不直接显示文件内容，但

  file

  命令可以快速识别文件的类型。当你拿到一个文件，不确定它是文本、图片、压缩包还是可执行文件时，

  file

  是你的第一步。它能识别出文件的“魔法数字”，从而判断其格式，这对于后续选择合适的分析工具非常重要。

这些工具各有侧重，但它们共同构成了一个强大的二进制文件分析工具集。在实际工作中，通常是根据需求组合使用，比如先用

file

确定类型，再用

strings

提取文本，最后用

hexdump -C

深入查看特定区域的原始数据，甚至用

objdump

进行反汇编。