Académique Documents
Professionnel Documents
Culture Documents
DISQUES
Anissa KPAKPABIA
Les plateaux ont deux surfaces, chacune d'entre elles étant divisée en cercles concentriques
appelés pistes qui stockent toutes les informations du disque dur
Un disque dur moderne contient des dizaines de milliers de pistes sur chaque plateau
Les têtes de lecture lisent et écrivent les données de la partie la plus interne à la partie la
plus externe du disque.
Ce type de disposition des données permet d'accéder facilement à n'importe quelle partie
du disque, c'est pourquoi les disques durs sont appelés "dispositifs de stockage à accès
aléatoire"
Chaque piste contient de nombreuses unités plus petites appelées secteurs; la densité des
pistes détermine donc également la capacité de stockage d'un disque dur
STRUCTURE D’UN DISQUE DUR - NUMÉROTATION
Temps d'accès
• Temps nécessaire à un lecteur pour lancer le transfert de données
• Dépend de la nature mécanique des disques en rotation et des têtes mobiles
• Les composants:
• Le temps de recherche : Il s'agit du temps nécessaire à un contrôleur de disque dur pour
trouver une donnée particulière
• Latence de rotation : Il s'agit du délai de rotation du secteur du disque choisi pour tourner sous
les têtes de lecture ou d'écriture du disque dur
ATA/PATA (IDE/EIDE)
L’IDE est une interface électronique standard utilisée
entre les chemins de données ou le bus d’une carte mère
d’ordinateur et les périphériques de stockage de
l’ordinateur, tels que les disques durs, les SSD et les
lecteurs de CD-ROM/DVD
Serial ATA
• Serial ATA (SATA) offre un canal point à point entre la
carte mère et le disque
• Cette technologie permet de transférer des données à un
débit d'environ 1,5 Gbps en mode canal semi-duplex
LES INTERFACES DE DISQUES
SCSI
• SCSI est un ensemble d’interfaces électroniques standard ANSI
qui permettent aux ordinateurs personnels de communiquer
avec des périphériques tels que des lecteurs de disque, des
lecteurs de bandes, des lecteurs de CD-ROM, des imprimantes
et des scanners.
SSD PCIe
• Un SSD PCIe est une carte d’extension série haute vitesse qui intègre
la mémoire flash directement dans la carte mère. Ces périphériques
se connectent à la machine hôte via sa propre liaison série en
éliminant le besoin de partager un bus, en réduisant la latence et en
améliorant les vitesses de transfert de données entre un serveur et
le stockage.
Les clusters sont les plus petites unités logiques de stockage accessibles sur
un disque dur
Les clusters sont formés en combinant des secteurs pour faciliter le processus
de traitement des fichiers. Aussi appelés unités d’allocation, les clusters sont
des ensembles de pistes et de secteurs allant du cluster numéro 2 au cluster
32 ou plus, selon le schéma de formatage
L’allocation peut être de la taille d’un secteur par cluster. Tout processus de
lecture ou d’écriture consomme un espace minimum d’un cluster.
La taille du cluster dépend entièrement du volume de disque et varie de 4 à
64 secteurs. Dans certains cas, la taille du cluster peut être de 128 secteurs
Dans un cluster, lorsque le système de fichiers stocke un fichier plus petit que
la taille du cluster, l’espace supplémentaire est gaspillé et est appelé espace
libre.
TAILLE DES CLUSTERS
Un cluster perdu est une erreur FAT (File Allocation Table) qui se produit lorsque le système
d’exploitation marque les clusters comme utilisés mais ne leur alloue aucun fichier
L’utilisateur ne ferme pas correctement les fichiers ou arrête un ordinateur sans fermer une
application. Ces erreurs se produisent également en raison de corruptions de disque telles que des
pilotes défectueux et des conflits de ressources
Les programmes de vérification sur disque peuvent analyser le système informatique à la recherche
de clusters perdus à l’aide de la procédure suivante
• Une copie dupliquée est générée dans la mémoire de FAT tout en notant tous les clusters marqués comme «
en cours d’utilisation »
• À partir du répertoire racine, les clusters utilisés par un fichier sont tracés et marqués comme
« comptabilisés » pour les connecter au fichier. Cette procédure est répétée pour tous les sous-répertoires.
• Les clusters perdus ou « orphelins » sont marqués dans la FAT comme étant utilisés mais n’ont aucun lien
vers un fichier
SLACK SPACE – (ESPACE LIBRE)
L’espace libre est la zone gaspillée d’un cluster de disques située entre la fin d’un
fichier et la fin du cluster
Il est créé lorsque le système de fichiers alloue un cluster complet à un fichier plus
petit que la taille du cluster
Les systèmes de fichiers DOS et Windows utilisent des clusters de taille fixe
Par exemple, si la taille de chaque partition est de 4 Go, la taille de chaque cluster est
de 32 Ko et un fichier ne nécessite que 10 Ko, le système alloue un cluster entier de 32
Ko, ce qui donne 22 Ko d’espace libre.
SLACK SPACE – (ESPACE LIBRE)
L’espace libre est la zone gaspillée d’un cluster de disques située entre la fin d’un
fichier et la fin du cluster
Il est créé lorsque le système de fichiers alloue un cluster complet à un fichier plus
petit que la taille du cluster
Les systèmes de fichiers DOS et Windows utilisent des clusters de taille fixe
Par exemple, si la taille de chaque partition est de 4 Go, la taille de chaque cluster est
de 32 Ko et un fichier ne nécessite que 10 Ko, le système alloue un cluster entier de 32
Ko, ce qui donne 22 Ko d’espace libre.
SLACK SPACE – (ESPACE LIBRE)
Pour éliminer cette inefficacité, le système utilise le partitionnement. Une autre approche
pour réduire l’espace libre consiste à utiliser le système de fichiers NTFS (New Technology
File System), qui permet des clusters beaucoup plus petits sur de grandes partitions que FAT
Types de fichiers Slack
RAM slack: RAM slack est l’espace de stockage de données qui commence de la fin d’un fichier à la
fin du dernier secteur du fichier
Drive slack: Drive slack est l’espace de stockage de données qui commence à la fin du dernier secteur
d’un fichier à la fin du dernier cluster du fichier
Dans le domaine des investigations numériques, l’espace libre est une forme importante de
preuve. Souvent, l’espace libre peut contenir des informations suspectes pertinentes
MASTER BOOT RECORD (MBR)
Master Boot Record (MBR) fait référence au premier secteur ou secteur zéro d’un disque dur,
qui spécifie l’emplacement d’un système d’exploitation pour le système à charger dans le
stockage principal
Un fichier MBR contient des informations sur les différents fichiers présents sur le disque,
leurs emplacements et leurs tailles
Le MBR est utilisé pour :
Tenir une table de partition qui fait référence aux partitions d’un disque dur
Démarrage d’un système d’exploitation
Reconnaissance distinctive des supports de disque dur individuels avec une signature de disque 32
bits
MBR STRUCTURE
Table de partition
• Une table de partition est une structure de données de 64 octets qui stocke des informations sur les
types de partitions présentes sur le disque dur et leurs emplacements.
• Seulement quatre partitions primaires – les autres sont logiques
GUID est un schéma de partitionnement standard pour les disques durs et fait partie
de l’interface UEFI (Unified Extensible Firmware Interface), qui remplace les
interfaces de microprogramme du BIOS
Le schéma de partition MBR utilise 32 bits pour stocker les adresses de bloc logique
(LBA) et les informations de taille sur les secteurs de 512 octets.
Les GPT utilisent l’adressage par bloc logique (LBA) au lieu de l’adressage par
culasse-secteur (CHS). Dans la table de partition GUID (GPT),
Chaque bloc logique est de 512 octets et chaque entrée de partition est de 128 octets
LBA 0 stocke le MBR de protection, LBA 1 contient l’en-tête GPT et l’en-tête GPT
comprend un pointeur vers la table de partition ou le tableau d’entrée de partition au
niveau LBA 2
TABLE DE PARTITION GUID (GPT)
Kernel32.dll
Advapi32.dll
Win32 fichiers DLL du sous-système
User32.dll
Gdi32.dll
PROCESSUS DE DÉMARRAGE DE WINDOWS :
MÉTHODE BIOS-MBR
<= Windows 7 utilises la méthode BIOS-MBR
1. Lorsque l’utilisateur allume le système, le processeur envoie un signal Power Good à la carte mère et vérifie
le microprogramme du BIOS de l’ordinateur.
2. Le BIOS démarre un auto-test de démarrage (POST), qui vérifie si tout le matériel requis pour le démarrage
du système est disponible et charge tous les paramètres du microprogramme de la mémoire non volatile
sur la carte mère
4. Le processus de pré-démarrage est terminé avec l’auto-test de démarrage (POST), détectant une partition
de démarrage système valide
5. Après le POST, le MBR est chargé. Le MBR recherche les informations de démarrage dans le Boot
Configuration Data (BCD)
PROCESSUS DE DÉMARRAGE DE WINDOWS :
MÉTHODE BIOS-MBR
6. Le MBR lance Bootmgr.exe, qui localise et démarre le chargeur Windows (Winload.exe)
8. Ensuite il charge les pilotes de périphériques hal.dll, de classe de démarrage marqués comme BOOT_START,
et la ruche de registre SYSTEM dans la mémoire
10. Le processus Gestionnaire de session déclenche Winlogon.exe, qui présente l’écran de connexion
11. Le Gestionnaire de contrôle des services démarre tous les services, le reste des pilotes de périphériques
non essentiels, le LSASS .EXE du sous-système de sécurité et les scripts de stratégie de groupe
12. Une fois que l’utilisateur se connecte, Windows crée une session pour l’utilisateur
13. Le Gestionnaire de contrôle des services démarre l’explorateur.exe et lance le processus Gestionnaire de
fenêtres de bureau (DMW), qui initialise le Bureau pour l’utilisateur
PROCESSUS DE DÉMARRAGE DE WINDOWS :
MÉTHODE BIOS-MBR
IDENTIFICATION DE LA PARTITION MBR
PROCESSUS DE DÉMARRAGE DE WINDOWS : UEFI-
GPT
Cinq phases
1. La phase de sécurité ou SEC EFI consiste en un code d’initialisation que le système exécute après la mise sous tension
du système EFI. Il gère l’initialisation pré-EFI (PEI)
2. La phase PEI initialise le processeur, la mémoire permanente et le volume du microprogramme de démarrage (BFV). Il
localise et exécute les modules de pré-initialisation (PEIM) présents dans le BFV afin d’initialiser tout le matériel
trouvé dans le système. Enfin, il crée une Hand-Off Block List (HOBL) avec toutes les ressources trouvées et les
descripteurs d’interface et la transmet à la phase suivante, c’est-à-dire la phase DXE
3. Phase de l’environnement d’exécution du pilote: La majeure partie de l’initialisation se produit dans cette phase. À
l’aide de HOBL, l’environnement d’exécution de pilotes (DXE) initialise toute la mémoire physique du système, des
E/S et des ressources MIMO (Memory Mapped I/O) et commence enfin à distribuer les pilotes DXE présents dans les
volumes du microprogramme système (indiqués dans le HOBL). Le noyau DXE produit un ensemble de services de
démarrage EFI et de services d’exécution EFI. Les services de démarrage EFI allouent de la mémoire et chargent des
images exécutables. Les services d’exécution EFI convertissent les adresses mémoire physiques en virtuelles, les
transfèrent au noyau et réinitialisent le processeur pour le code exécuté dans l’environnement EFI ou dans le noyau
du système d’exploitation, une fois que le processeur prend le contrôle du système.
PROCESSUS DE DÉMARRAGE DE WINDOWS : UEFI-
GPT
Cinq phases
4. Phase de sélection du périphérique d’amorçage : la sélection du périphérique d’amorçage (BDS)
interprète les données de configuration de démarrage et sélectionne la stratégie de démarrage pour
une implémentation ultérieure. Cette phase fonctionne avec le DXE pour vérifier si les pilotes de
périphériques nécessitent une vérification de signature. Dans cette phase, le système charge le code de
démarrage MBR en mémoire pour un démarrage BIOS hérité ou charge le programme de chargeur de
démarrage à partir de la partition EFI pour un démarrage UEFI. Il offre également à l’utilisateur la
possibilité de choisir le shell EFI ou une application UEFI comme périphérique de démarrage à partir
de la configuration
Un en-tête de table de partition GUID (GPT) permet d’analyser la disposition du disque avec des
détails tels que les emplacements de la zone de partition ainsi que la table de partition et ses
copies de sauvegarde
La commande Get-GPT pour analyser la structure de données GPT du disque dur ou Get-MBR si le
disque est formatté MBR
Autres commandes
Get-BootSector analyse le premier secteur du disque dur, détermine le type de formatage utilisé, puis analyse le GPT
Get-PartitionTable analyse la table de partition GUID pour trouver le type exact de secteur d’amorçage (MBR ou GPT)
et affiche l’objet de partition
ANALYSE DES EN-TÊTES GPT
Cas 1: Sur les disques durs, la conversion de MBR en GPT écrase généralement le secteur zéro avec un MBR
de protection, qui supprime toutes les informations sur l’ancienne table de partition. Les investigateurs
doivent suivre les méthodes d’investigation standard de recherche dans les systèmes de fichiers afin de
récupérer des données sur les volumes partitionnés MBR précédents.
Cas 2 : Lorsqu’une conversion de GPT en MBR se produit, l’en-tête et les tables GPT peuvent rester intacts en
fonction de l’outil utilisé. Les investigateurs peuvent facilement récupérer ou analyser les données de ces
partitions de disque.
L’usage d’outils généraux de suppression de partition pour la suppression d’une partition sur un disque GPT
pourrait supprimer uniquement le MBR de protection, que les enquêteurs peuvent facilement recréer en
reconstruisant simplement le disque.
Conformément à la spécification UEFI, si tous les champs d’une entrée de partition ont des valeurs mises à
zéro, l’entrée n’est pas utilisée. Dans ce cas, la récupération de données à partir d’entrées de partition GUID
supprimées n’est pas possible.
LES ARTIFACTS GPT
GUIDs
• Le schéma GPT fournit des GUID ayant une valeur d’investigation car ils sont uniques et contiennent
potentiellement des informations sur l’ensemble du disque et chaque partition qu’il contient.
• Les GUID possèdent des informations d’identification uniques pour les disques et les partitions
individuelles
• Les chercheurs peuvent utiliser des outils tels que l’identificateur universel unique (UUID) pour
décoder différentes versions de GUID/UUID
FAT crée deux copies de la table d’allocation de fichiers pour protéger le volume contre les dommages.
La table d’allocation de fichiers et le dossier racine sont stockés dans un emplacement permanent. Le
volume formaté à l’aide du système de fichiers FAT forme un cluster, et la taille du volume formaté
détermine la taille du cluster
SYSTÈMES DE FICHIERS WINDOWS - NTFS
C’est un système de fichiers haute performance qui se répare tout seul
Il prend en charge plusieurs fonctionnalités avancées telles que la sécurité au niveau des
fichiers, la compression et l’audit
Il prend également en charge des solutions de stockage de volumes volumineux et
puissantes, telles que les disques à récupération automatique
NTFS assure la sécurité des données car il a la capacité de chiffrer ou de déchiffrer des
données, des fichiers ou des dossiers.
Il utilise une méthode de dénomination de jeu de caractères Unicode 16 bits pour les fichiers
et les dossiers. Cet attribut de NTFS permet aux utilisateurs du monde entier de gérer leurs
fichiers dans leur langue native
SYSTÈMES DE FICHIERS WINDOWS - NTFS
Les fonctionnalités de NTFS
• NTFS utilise le schéma de répertoires b-tree pour stocker des informations sur les clusters de
fichiers
• NTFS stocke les informations sur les clusters d’un fichier et d’autres données au sein du cluster
• NTFS prend en charge des fichiers d’une taille maximale d’environ 16 milliards d’octets
• Une liste de contrôle d’accès (ACL) permet à l’administrateur du serveur d’accéder à des fichiers
spécifiques
• NTFS intègre la compression de fichiers
• NTFS assure la sécurité des données sur les disques amovibles et fixes
ARCHITECTURE- NTFS
Composants de l’architecture NTFS:
• Disque dur: Il est composé d’au moins une partition
• Master Boot Record : il contient le code de démarrage principal exécutable que le BIOS du système
informatique charge en mémoire ; ce code est utilisé pour analyser le Master Boot Record afin de
localiser la table de partition afin de déterminer quelle partition est active/amorçable
• Secteur d’amorçage: Également connu sous le nom d’enregistrement de démarrage de volume
(VBR), il s’agit d’un tout premier secteur trouvé dans un système de fichiers NTFS qui stocke le
code de démarrage et d’autres informations, telles que le type, l’emplacement ou la taille des
données dans le système de fichiers NTFS.
• Ntldlr.dll : En tant que chargeur de démarrage, il accède au système de fichiers NTFS et charge le
contenu du fichier boot.ini
• Ntfs.sys : Il s’agit d’un pilote de fichiers système pour NTFS
• Mode noyau : C’est le mode de traitement qui permet au code exécutable d’avoir un accès direct à
tous les composants du système
• Mode utilisateur : c’est le mode de traitement dans lequel un programme ou un code exécutable
s’exécute
LES FICHIERS SYSTÈME NTFS
Fichier Description
Contient les définitions de tous les attributs définis par le système et l’utilisateur du
$attrdef
volume
Les composants
• Le service EFS, qui fait partie du sous-système de sécurité, agit comme une interface avec le pilote
• Le pilote EFS est un pilote de filtre de système de fichiers empilé sur NTFS. Il se connecte au service EFS pour
obtenir des clés de chiffrement de fichiers, des DDF, des DRF et d’autres services de gestion de clés.
• CryptoAPI contient un ensemble de fonctions qui permettent aux développeurs d’applications de chiffrer leurs
applications Win32
• CryptoAPI contient un ensemble de fonctions qui permettent aux développeurs d’applications de chiffrer leurs
applications Win32
• EFS fournit un ensemble d’API pour fournir un accès à ses fonctionnalités (opérations telles que le chiffrement de
fichiers texte brut, le déchiffrement ou la récupération de fichiers texte chiffré, et l’importation et l’exportation)
FICHIERS FRAGMENTÉS
Un fichier fragmenté est un type de fichier qui tente d’utiliser l’espace du système de fichiers plus
efficacement lorsque les blocs alloués au fichier sont pour la plupart vides. Pour améliorer l’efficacité, le
système de fichiers écrit de brèves informations (métadonnées) sur le fichier dans les blocs vides pour
remplir le bloc en utilisant une faible quantité d’espace disque