Windows命令行利器：Hexdump十六进制文件解析实战

1. Hexdump：Windows下的二进制文件"显微镜"

第一次接触二进制文件时，我盯着满屏的乱码完全无从下手。直到发现Hexdump这个神器——它就像给二进制文件装上了X光机，能直接把十六进制机器码和ASCII字符对照显示。在Windows平台上，虽然原生没有Linux的hexdump命令，但David Ireland移植的Windows版本完美填补了这个空白。

这个工具特别适合以下几类人：

• 安全分析师：逆向分析恶意软件时查看PE文件头
• 开发人员：调试网络协议时检查原始数据包
• 数据恢复工程师：修复损坏文件前确认文件签名
• 普通极客：好奇JPG/PNG等文件头部的魔术数字

安装过程简单到令人发指：从官网下载zip包，解压后把包含hexdump.exe的目录添加到PATH环境变量。我习惯在C盘创建Tools目录集中管理这类命令行工具，这样重装系统时备份也更方便。

注意：下载后务必校验SHA256哈希值，我遇到过第三方站点提供的捆绑恶意软件的版本

2. 基础使用：从文本文件到二进制解析

2.1 查看纯文本的十六进制表示

先来个最简单的例子，创建一个test.txt文件：

echo "Hello World" > test.txt

用默认模式查看：

hexdump test.txt

输出类似：

000000 48 65 6c 6c 6f 20 57 6f 72 6c 64 0d 0a

这里能看到每个字符对应的ASCII码（0x48=H，0x65=e），最后的0d0a是Windows的CRLF换行符。

2.2 规范显示模式（-C参数）

更实用的方式是使用-C参数，它会同时显示十六进制和ASCII：

hexdump -C test.txt

输出变成两栏格式：

00000000 48 65 6c 6c 6f 20 57 6f 72 6c 64 0d 0a |Hello World..|

右边栏直接显示可打印字符，不可见字符显示为点号。这种模式在分析混合了文本和二进制数据时特别有用，比如我最近分析的一个配置文件：

00000000 5b 73 65 63 74 69 6f 6e 5d 0a 6b 65 79 3d 76 61 |[section].key=va| 00000010 6c 75 65 00 00 00 00 1f 8b 08 00 00 00 00 00 |lue...........|

这里能清晰看到文本部分"[section].key=value"后面跟着的00填充和1f8b（gzip文件头签名）。

3. 高级实战技巧

3.1 分析PHP序列化数据

有次调试PHP应用时，发现序列化字符串在传输过程中被篡改。用hexdump查看serialize()的输出：

php -r 'echo serialize(["name"=>"test"]);' | hexdump -C

输出显示：

00000000 61 3a 31 3a 7b 73 3a 34 3a 22 6e 61 6d 65 22 3b |a:1:{s:4:"name";| 00000010 73 3a 34 3a 22 74 65 73 74 22 3b 7d |s:4:"test";}|

对比正常序列化数据，可以快速定位到被注入的恶意代码位置。比如如果看到中间突然出现3c 3f 70 68 70（<?php），基本可以确定有代码注入。

3.2 网络数据包分析

抓取到的TCP包经常需要人工检查。假设有个HTTP请求包保存为http.pcap，用tcpdump提取载荷后：

tcpdump -r http.pcap -A | hexdump -C

能看到类似这样的HTTP头：

00000000 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 0d 0a |GET / HTTP/1.1..| 00000010 48 6f 73 74 3a 20 77 77 77 2e 65 78 61 6d 70 6c |Host: www.exampl| 00000020 65 2e 63 6f 6d 0d 0a 55 73 65 72 2d 41 67 65 6e |e.com..User-Agen|

这对理解自定义协议或检测异常流量非常有用。上周我就通过这种方式发现了一个IoT设备固件更新时未加密的敏感信息传输。

4. 鲜为人知的黑科技

4.1 批量处理多个文件

用for循环处理目录下所有.bin文件：

for %f in (*.bin) do @echo %f & hexdump -C "%f" > "%f.txt"

这个命令会把每个二进制文件的hexdump结果保存到同名.txt文件。在批处理脚本中记得把%f改成%%f。

4.2 HTML实体转义模式（-H参数）

需要把结果嵌入网页时，-H参数会自动转义特殊字符：

hexdump -H malware.exe > report.html

这样生成的报告中，<、>、&等字符会变成&lt;、&gt;、&amp;，避免破坏HTML结构。

4.3 原始字节模式（-R参数）

查看字符在控制台的原始显示：

hexdump -R unicode.txt

输出类似：

00000000 4f 6c c3 a1 20 6d 75 6e 64 6f 20 4d c3 a9 78 69 |Olß mundo MÚxi| 00000010 63 6f 20 3c 26 3e 0d 0a |co <&>..|

虽然显示可能乱码，但重定向到文件后可以用专业工具进一步分析编码问题。

5. 排错与性能优化

5.1 处理大文件技巧

分析几个GB的数据库文件时，直接hexdump会卡死。可以用more分页：

hexdump -C hugefile.bin | more

或者只查看前1MB内容：

head -c 1M hugefile.bin | hexdump -C

5.2 常见问题解决

如果看到输出全是问号：

00000000 3f 3f 3f 3f 3f 3f 3f 3f ????????

说明文件编码与控制台不匹配。尝试：

chcp 65001 # 切换为UTF-8编码 hexdump -C unicode.txt

5.3 与其他工具配合

结合grep快速定位特征码：

hexdump -C firmware.bin | grep "89 50 4e 47" # PNG文件头

或者用awk提取特定偏移量：

hexdump -C data.bin | awk '/00000060/ {print $2,$3}'