)
🧭 说明
hexdump是 Linux 系统中一个强大的命令行工具,用于查看文件的十六进制、八进制、十进制或 ASCII 格式的原始内容。它就像文件的“显微镜”,常用于调试程序、分析文件格式或检查二进制数据 。
下面这个表格汇总了hexdump的核心选项。
| 选项 | 功能描述 |
|---|---|
-C | 经典模式。同时显示十六进制字节和对应的ASCII字符,最常用 。 |
-n length | 仅解析文件的前length个字节 。 |
-s offset | 跳过文件开头offset字节后再开始读取 。 |
-v | 显示所有输入数据,不压缩连续的重复行 。 |
-e format_string | 使用自定义格式字符串显示数据,实现高度灵活的输出 。 |
-x | 以双字节为单位用十六进制显示 。 |
-c | 单字节字符显示,非打印字符显示为八进制转义序列 。 |
💡 基本用法与示例
掌握以下几个典型用法,就能应对大部分场景。
查看二进制文件结构
使用-C选项是最直观的方式。它会在一行中显示偏移量、16个字节的十六进制值以及对应的ASCII字符。hexdump -C filename.bin输出示例:
00000000 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00 |.ELF............| 00000010 02 00 3e 00 01 00 00 00 a8 63 5d 00 00 00 00 00 |..>......c].....|从输出中可以清晰看到著名的 ELF 文件魔数
7f 45 4c 46。检查文件头或特定片段
结合-n和-s选项,可以精准查看文件的某个部分。例如,查看文件前64字节(常用于检查文件头):hexdump -C -n64filename.bin跳过文件开头的512字节(例如分析跳过MBR的磁盘数据)后查看:
hexdump -C -s512filename.bin识别文本中的隐藏字符
当怀疑文本文件包含不可见的控制字符(如换行符、制表符)时,-c选项可以将其显示为八进制转义序列,便于诊断。hexdump -c script.txt
🛠️ 高级自定义格式
-e选项是hexdump最强大的功能,允许完全自定义输出格式。其格式字符串的基本单元为"迭代次数/字节数 格式模板"。
示例1:模拟-C选项的输出效果
hexdump -e'"%08_ax " 8/1 "%02x " " " 8/1 "%02x " " |" 16/1 "%_p" "|\n"'filename.bin%08_ax:以8位十六进制数字显示当前偏移量。8/1 "%02x ":以十六进制格式依次处理8个字节,每个字节占两位。16/1 "%_p":处理16个字节,可打印字符原样输出,不可打印字符显示为点号 。
示例2:每行只显示4个双字节的十进制数
hexdump -e'4/2 "%6d " "\n"'filename.bin⚠️ 实用技巧与注意事项
- 处理大文件:直接使用
hexdump分析超大文件可能导致终端卡顿。建议先使用dd命令截取感兴趣的部分,再通过管道传递给hexdump。ddif=huge_file.binbs=1Mcount=1|hexdump -C - 显示完整输出:默认情况下,
hexdump会合并压缩连续的重复行,用单个星号*表示。使用-v选项可以强制显示所有行 。 - 从标准输入读取:当文件名参数为
-时,hexdump会从标准输入读取数据 。echo"Hello"|hexdump -C - 工具对比:
xxd是另一个常用的十六进制转储工具,它的默认输出格式与hexdump -C类似,并且支持将十六进制输出反向转换回二进制文件,在某些场景下可能更方便 。
💎 总结
hexdump是深入分析文件内容的利器。对于日常快速查看,hexdump -C或xxd是不错的选择。而当需要精确控制输出格式以满足特定分析需求时,hexdump -e的强大功能无可替代 。