让我们考虑一个例子 - 客户端要求我们恢复 * .qbw文件。

首先，我们需要要求客户提供至少三个此类工作文件。

然后我们在 HexEdit 中打开它们中的每一个并按对进行比较（通过 Ctrl+A 加 Ctrl+C 复制一个文件，将光标设置在第二个文件的第一个字节上，然后按 Ctrl+M）。结果是这样的：

突出显示的字节是不同的。并且我们需要定义 header 中的 哪些字节是相同的。

在我们的示例中，前 6 个字节相同并由零填充。让我们将此符号添加到 GREP 表达式中。使用内置的 DataExtractor 插件有一种简单的方法可以做到这一点。只需在 DE 中打开一个好的文件作为外部 文件。

所以这里我们得到了^\x00\x00\x00\x00\x00\x00 正则表达式。

为了检查它是否有效，我们可以将它应用于同一个文件，它必须只返回一个结果，而且 LBA 必须是 0。如果你有更多像下面图片中的那样，那肯定意味着你的表达很弱。

GREP 表达式必须是唯一的和尽可能长的，以防止进入 具有某些标题的其他类型的结果文件。至少我建议始终检查引用中的任何表达式是否从一开始就具有相同的字节。如果您得到的结果比您预期的多，或者无法在他们创建的程序中 打开文件 - 可能您的 GREP 表达式很弱。

现在在 Add GREP 插件中也无法选择多个字符串并从中自动创建正则表达式。但是你总是可以手动完成，下 表对它很有用：

如果您没有在表格中找到需要的表达式，您可以在Wikipedia 中阅读它，表达式几乎与任何流行的编程语言中的相同。

在我们的示例中，*.qwb 文件类型的正确表达式为 ^{16}(.)\x03\x00\x00\x00\x5E\xBA\x7A\xDA\xC9\x00\x0C\x00

正如你在上面的图片中看到的，只返回了一个结果，它从 LBA0 开始