我们用十六进制查看器打开一个可执行程序,如下图:
最左边的00000000表示文件中的相对地址,其后的h表示该地址为十六进制表示方式;
中间的每行是文件的十六字节内容,在磁盘上最终当然是二进制,这里用十六进制给出;
分号之后的部分是相应应十六进制,按ASCII码翻译成的字符。
那为什么翻译出的部分大多是.号呢?
首先一个原因是在ASCII表中,只有20-7E是有对应可显示字符,其他编码并没有对应可显示字符,这些字符就全统一用.表示。
第二个原因是更多的内容本来就不是给人看的字符串,按ACSII码能翻译成字符也是对不上其本意的,比如可能是数字类型有可能是地址也有可能是编译后的指令。
很多人没明白数值和字符在内存(或磁盘)上的区别,数值是真从0开始编下去的比如16是0010、17是0011,但字符是按ASCII等编的16是3136、17是3137,这区别是相当大的。
至于说为什么很多.对应的十六进制是00,或者说十六进制里为什么那么多00,应该是00是默认的填充值,就如C语言字符数组没用的都赋为00那样。
其实WireShark等截到包的内容也大多同此,http协议的内容直接是人读得懂的字符串,其下协议一般都是定义好的代号(主要是数值类型)比如0800表示IP协议,WireShark查看协议时看到很多00和.
http内容直接是字符串,其他协议更多的是协议自定义的代号(或叫协议定义自定义的编码),可能这也是很多人觉得http与其下各层协议甚至其他应用协议差别很大的原因。