十六进制查看器为什么很多.号

我们用十六进制查看器打开一个可执行程序,如下图:

最左边的00000000表示文件中的相对地址,其后的h表示该地址为十六进制表示方式;

中间的每行是文件的十六字节内容,在磁盘上最终当然是二进制,这里用十六进制给出;

分号之后的部分是相应应十六进制,按ASCII码翻译成的字符。

那为什么翻译出的部分大多是.号呢?

首先一个原因是在ASCII表中,只有20-7E是有对应可显示字符,其他编码并没有对应可显示字符,这些字符就全统一用.表示。

第二个原因是更多的内容本来就不是给人看的字符串,按ACSII码能翻译成字符也是对不上其本意的,比如可能是数字类型有可能是地址也有可能是编译后的指令。

 

很多人没明白数值和字符在内存(或磁盘)上的区别,数值是真从0开始编下去的比如16是0010、17是0011,但字符是按ASCII等编的16是3136、17是3137,这区别是相当大的。

至于说为什么很多.对应的十六进制是00,或者说十六进制里为什么那么多00,应该是00是默认的填充值,就如C语言字符数组没用的都赋为00那样。

 

其实WireShark等截到包的内容也大多同此,http协议的内容直接是人读得懂的字符串,其下协议一般都是定义好的代号(主要是数值类型)比如0800表示IP协议,WireShark查看协议时看到很多00和.

http内容直接是字符串,其他协议更多的是协议自定义的代号(或叫协议定义自定义的编码),可能这也是很多人觉得http与其下各层协议甚至其他应用协议差别很大的原因。

posted on 2017-05-04 11:59  诸子流  阅读(483)  评论(0编辑  收藏  举报