第0天：(緣起XD)
話說前幾天我想把實驗室一台電腦灌98，打算把一顆硬碟分成兩區，第二區丟安裝檔，第一區就用format/s弄成DOS啟動。

我照慣例，先用CentOS的LIVE USB分割過順便mkfs.msdos弄成FAT32後，就回DOS執行FORMAT，但reset要用硬碟開機時卻開不了，SPFDISK一看，分割表竟然亂掉了？
好吧！反正我有兩顆硬碟，前面這顆是IDE的，我猜非南橋原生晶片可能不穩( )，當下換成另一顆SATA的，問題是這一顆有資料。

sda1：NTFS
sda2：ext
sda5：NTFS
sda6：NTFS
sda7：NTFS
前人交接時已經把資料都留在sda5，其餘都沒在用，所以我在CentOS下把其他三個分割打掉，把sda6和sda7合併，然後連同前面的sda1都格式化成FAT32。之後老樣子FORMAT/S，但這時慘劇發生了，分割表又亂掉了，我臉當場綠掉。那些資料好像沒其他備份啊！！

第1天：
我想說用FINALDATA或R-STUDIO救援，但時間太久，也有試用版的限制，考慮到RAW data應該沒事，大概只有分割表亂掉，我想用testdisk救援。
問題是我照教學都做到深層掃描了，竟然只看到第一個FAT32，而且容量還是整顆硬碟？我差點瘋掉，印象中這軟體對於分割表救援好像評價不錯，如果深層掃描都救不了我不就死了？難道FORMAT真的有動到下一個檔案系統的磁區？

我趕緊用SPFDISK去看看實體磁區......如果用微軟的軟體或SPFDISK分割，我印象中NTFS的起頭會在CHS的(X,1,0)，結尾會在(X,254,62)(主分割區不是第0軌的好像比較前面)而且第一行就有NTFS字樣，後頭也有像是BOOT還是CTRL +ALT+DEL之類的，想說土法煉鋼從大約C=1000看到C=4000看看，結果眼睛差點破窗，用spfdsik的page down按好久不說，用眼睛要確認那一小段字真的很蠢。

這時我想到鳥哥的LINUX教學中有提到迴圈，但我這輩子從BASIC到現在從來沒用過迴圈啊！我連IF;.then都沒碰過多少次耶！但我不想眼睛出事，只好仔細看鳥哥的文件，結果嘗試寫下以下的script：

#! /bin/sh
declare -i cylinders=0
while [ "$cylinders" -le "$2" ]
do
dd if=/dev/"$1" bs=512 count=1 skip=$((63+$cylinders*255*63))>>$3
cylinders=$(($cylinders+1))
done

檔案存成read.sh，chmod成755，用root執行。
如果這顆要救的硬碟是sda我就執行：

./read.sh sda 4000 file_sda
我推測原本的sda5起點應該會在4000以內，所以只設4000。之後用MadEditd開16進位讀取搜尋之前提到的關鍵字，像是NTFS或BOOT等等，果然找到一個sector很像。由於一個磁區大小是512，所以分界的16進位的最後三碼一定是n00，且n是偶數。
之後用小算盤推估位置應該是3991，可能有植樹問題要加減1，不過反正我會用SPFDISK再確認，所以就不管確實數字了。

至於結尾嘛....我猜可以直接設定實體硬碟結尾比較省事，印象中檔案系統只認自己知道的大小，大一點應該不會怎樣，何況後面的分割表我也沒打算救，不過反正scripte改一下也OK，所以根據我對結尾的(X,254,62)的判斷，第五行改成

dd if=/dev/"$1" bs=512 count=1 skip=$(($cylinders*255*63-1))>>$3

第一筆資料會是-1，雖然dd會錯誤，但後面不會有問題，只是計算磁軌位置會往前偏，不過就如同前面說的我會用SPFDISK肉眼確認，所以和植樹問題一樣就不管了。這次因為要掃比較後面所以數字要設比較大。

./read.sh sda 12000 file_sda
記得前一個檔案要刪掉，或是另存檔名，不然資料是一直累加的。運氣很好我也同樣只找到一個磁區符合比對，大概9600多吧！
之後回DOS用SPFDISK看磁區，確實兩個磁區和正規的NTFS頭尾一樣，且3991的上一個磁軌結尾也有NTFS結束的模式，而9600下一個磁軌的第一個磁柱(H,S=1,0)也有看到另一個檔案系統的起頭，容量大小也符合，我想應該錯不了。就根據數字回LINUX的FDISK重建分割區。最後再回SPFDISK確認有沒有切對。

但SPFDISK竟然發現切錯了，全部往前偏一個磁柱，我才知道linux的計算和SPFDISK不一樣，可能開頭是0或1的問題吧！幸好是往前偏，因為在重建延伸分割區時，也有分割表會確實會寫入某個磁區毀掉資掉，而我前面的資料正好不需要。

總之我再重建一次分割表，這次位置就對了，進WIN7也可以直接讀到資料，哈雷路亞。
趕緊備份到另一顆硬碟。

基本上這次有幾個要注意的地方：
1.由於SPFDISK或微軟的切割讓頭尾位置有規律，所以可以搜尋比較小的範圍。如果直接用LBA位置去切，那dd可能要抓整顆硬碟的資料來搜尋了。

2.我因為偷懶所以從第0軌開始抓，當然可以多加一個參數當起點。不過計算會更複雜。

3.救援軟體真的不常用，R-STUDIO或FINDLDATA我這輩子連這次只用過3次，因為平常都有確實備份資料，這個script也不曉得下次用到是幾年後了，所以有錯我就懶得改了XD

4.testdisk不曉得為什麼無法讀到我的分割表，是因為那台電腦有問題嗎？我隔天拿新的硬碟FORMAT也沒有分割表亂掉的情況....

5.定址的時候還是用LBA比較準，像這次就有DOS和LINUX的磁軌編號不一樣的狀況。

6.人不要鐵齒......... ，double check是很重要的，不管是切割或救援時都一樣。最後重建的部分真的好險。