LES SYSTEMES DE FICHIERS DES

DISQUES

Anissa KPAKPABIA

SOC-CERT manager, consultant cybersécurité

 OBJECTIFS

 Décrire les différents types de disques de stockage et leurs caractéristiques

 Expliquer la structure logique d'un disque
 Comprendre le processus de démarrage des systèmes d'exploitation (OS) Windows, Linux et
Mac
 Comprendre les différents systèmes de fichiers de Windows, Linux et Mac OS
 Examiner les systèmes de fichiers à l'aide d'Autopsy et du Sleuth Kit.
LES DIFFÉRENTS TYPES DE
DISQUES ET
CARACTÉRISTIQUES
 STRUCTURE D’UN DISQUE DUR

 Dispositif de stockage de données numériques non volatiles

 Stocke les données selon une méthode similaire à celle utilisée dans un
classeur
 Lorsque l'ordinateur a besoin de programmes ou de données stockés, le
système copie les données du disque dur vers un emplacement temporaire
 Lorsque l'utilisateur ou le système apporte des modifications à un fichier,
l'ordinateur sauvegarde le fichier en remplaçant l'ancien fichier par le
nouveau
 Le disque dur enregistre les données de façon magnétique sur le disque dur.
 STRUCTURE D’UN DISQUE DUR

 Constitué de plateaux tournants, et ses vitesses de lecture/écriture

dépendent du nombre de tours par minute (RPM) de ces plateaux
 Les disques durs sont sensibles aux dommages physiques car ils contiennent
des pièces mobiles. À long terme, les pièces mobiles s'usent et
endommagent le disque
 Caractéristiques
Capacité Temps de recherche
Interface utilisée Temps d’accès
Vitesse en RPM Temps de transfert
STRUCTURE D’UN DISQUE DUR
 STRUCTURE D’UN DISQUE DUR – LES PISTES

 Les plateaux ont deux surfaces, chacune d'entre elles étant divisée en cercles concentriques
appelés pistes qui stockent toutes les informations du disque dur
 Un disque dur moderne contient des dizaines de milliers de pistes sur chaque plateau
 Les têtes de lecture lisent et écrivent les données de la partie la plus interne à la partie la
plus externe du disque.
 Ce type de disposition des données permet d'accéder facilement à n'importe quelle partie
du disque, c'est pourquoi les disques durs sont appelés "dispositifs de stockage à accès
aléatoire"
 Chaque piste contient de nombreuses unités plus petites appelées secteurs; la densité des
pistes détermine donc également la capacité de stockage d'un disque dur
 STRUCTURE D’UN DISQUE DUR - NUMÉROTATION

 La numérotation des pistes sur un disque dur

commence à 0 à partir du bord extérieur et se déplace
vers le centre
 Les bras entrent et sortent ensemble pour placer
physiquement toutes les têtes sur le même numéro de
piste
 Par conséquent, l'emplacement d'une piste est souvent
désigné par un numéro de cylindre plutôt que par un
numéro de piste
 Un cylindre regroupe de toutes les pistes qui
commencent à la même position de tête sur le disque.
 STRUCTURE D’UN DISQUE DUR – LES SECTEURS

 C’est la plus petite unité de stockage

 512 bytes, 4096 bytes pour les dernières générations
 Contenu d'un secteur
• Informations d'identification
• Champs de synchronisation : Le contrôleur du lecteur pilote le
processus de lecture à l'aide de ces champs
• Données: Information stockée sur le secteur
• Code de correction d'erreur (ECC) : Ce code garantit l'intégrité des
données
• Espaces : Ce sont des espaces utilisés pour donner du temps au
contrôleur pour continuer le processus de lecture.
 STRUCTURE D’UN DISQUE DUR – ADRESSAGE DE
SECTEUR
 Les cylindres, têtes et secteurs (CHS) déterminent
l'adresse des d’un secteur sur le disque
 Lorsqu'un disque est formaté, il est divisé en pistes et en
secteurs
 Par exemple, le disque formaté peut contenir 50 pistes,
chacune d'entre elles étant divisée en 10 secteurs
 Les numéros de piste et de secteur sont utilisés par le
système d'exploitation et le lecteur de disque pour
identifier les informations stockées.
 STRUCTURE D’UN DISQUE DUR – SECTEUR DE 4K

 Format avancé de 4096 octets (4 Ko ou 4K)

• Utilisation efficace de la surface de stockage en
fusionnant huit secteurs de 512 octets en un seul
secteur (4096 octets)

 La structure d'un secteur 4K conserve les

éléments de conception des secteurs de 512
octets
• Les zones de début et de codage de correction
d'erreur (ECC) étant représentées respectivement
par les caractères d'identification et de
synchronisation Disposition des secteurs 4K
• La technologie des secteurs 4K supprime les zones
d'en-tête redondantes entre les secteurs
 STRUCTURE D’UN DISQUE DUR – NOTION DE
DENSITÉ
 Densité des pistes :
• l'espace requis par un nombre particulier de pistes sur un disque. Les
disques dont la densité des pistes est plus élevée peuvent stocker
davantage d'informations et offrir de meilleures performances

 Densité surfacique : Ce terme fait référence au

• nombre de bits par unité de surface sur un plateau

 Densité de bits : Ce terme fait référence au

• nombre de bits qu'une unité de longueur de piste peut accueillir.
 STRUCTURE D’UN DISQUE DUR – ADRESSAGE CHS
ET CALCUL DE CAPACITÉ
 CHS (Cylinder-Head-Sector)
• Le processus Cylinder-Head-Sector (CHS) identifie les secteurs
individuels d'un disque dur en fonction de leur position dans une
piste, et les numéros de tête et de cylindre déterminent ces pistes. Il
associe les informations sur le disque dur selon des spécifications
telles que la tête (côté plateau), le cylindre (rayon) et le secteur
(position angulaire)
• Exemple de calcul de la capacité d'un disque : Un disque dur
possède 16 384 cylindres, 80 têtes et 63 secteurs par piste.
Supposons qu'un secteur comporte 512 octets. Quelle est la capacité
d'un tel disque ?
 STRUCTURE D’UN DISQUE DUR – PERFORMANCE

 Temps d'accès
• Temps nécessaire à un lecteur pour lancer le transfert de données
• Dépend de la nature mécanique des disques en rotation et des têtes mobiles
• Les composants:
• Le temps de recherche : Il s'agit du temps nécessaire à un contrôleur de disque dur pour
trouver une donnée particulière
• Latence de rotation : Il s'agit du délai de rotation du secteur du disque choisi pour tourner sous
les têtes de lecture ou d'écriture du disque dur

• Le taux de transfert de l'hôte ou taux de transfert de données

• Vitesse de transfert de données de l’IDE ou de l'interface SCSI au processeur
• 44,2 Mo/s à 74,5 Mo/s à l’intérieur et entre 74,0 Mo/s et 111,4 Mo/s à l’extérieur.
 STRUCTURE D’UN SOLID-STATE DRIVE

 Un SSD est un dispositif électronique de stockage de données qui met en œuvre la

technologie de la mémoire à semi-conducteurs pour stocker des données d'une
manière similaire à celle d'un disque dur
 2 types de mémoire
• SSD basés sur la technologie NAND : Ces SSD utilisent des micropuces de mémoire NAND
à l'état solide pour stocker les données. La mémoire NAND est non volatile par nature et
conserve la mémoire même sans alimentation
• SSD à base de RAM volatile : Les SSD basés sur une mémoire volatile telle que la RAM
dynamique (DRAM) sont utilisés lorsque les applications nécessitent un accès rapide aux
données. Ces SSD comprennent soit une batterie interne rechargeable, soit un adaptateur
externe AC/DC, ainsi qu'un stockage de secours.
 STRUCTURE D’UN SOLID-STATE DRIVE

 Avantages des SSD sur les HDD ?

 Composants
1. Mémoire flash NAND
2. Contrôleur - Il s'agit d'un processeur intégré qui sert de
passerelle entre les composants de la mémoire flash et le
système en exécutant un logiciel au niveau du microprogramme
3. DRAM - Il s'agit d'une mémoire volatile qui nécessite de
l'énergie pour conserver les données. La DRAM est incluse dans
un SSD pour augmenter ses performances de lecture/écriture
4. Interface hôte – SATA, PCIe ou SCSI
 LES INTERFACES DE DISQUES

 ATA/PATA (IDE/EIDE)
 L’IDE est une interface électronique standard utilisée
entre les chemins de données ou le bus d’une carte mère
d’ordinateur et les périphériques de stockage de
l’ordinateur, tels que les disques durs, les SSD et les
lecteurs de CD-ROM/DVD

 Parallel ATA (PATA)

• Basé sur la technologie de signalisation parallèle, dispose
d’un contrôleur sur le lecteur de disque lui-même et
élimine ainsi le besoin d’une carte adaptateur séparée
 LES INTERFACES DE DISQUES

 ENHANCED INTEGRATED DRIVE ELECTRONICS (EIDE)

• La plupart des ordinateurs vendus aujourd'hui utilisent
une version améliorée de l'IDE appelée Enhanced
Integrated Drive Electronics (EIDE). Les lecteurs IDE se
connectent aux PC à l'aide d'une carte adaptateur hôte
IDE. EIDE est une extension de l'interface IDE qui prend
en charge les normes ATA-2 et ATA Packet Interface
(ATAPI).

 Serial ATA
• Serial ATA (SATA) offre un canal point à point entre la
carte mère et le disque
• Cette technologie permet de transférer des données à un
débit d'environ 1,5 Gbps en mode canal semi-duplex
 LES INTERFACES DE DISQUES

 SCSI
• SCSI est un ensemble d’interfaces électroniques standard ANSI
qui permettent aux ordinateurs personnels de communiquer
avec des périphériques tels que des lecteurs de disque, des
lecteurs de bandes, des lecteurs de CD-ROM, des imprimantes
et des scanners.

 Serial Attached SCSI

• SAS (Serial Attached SCSI) est un protocole série point à point
qui gère le flux de données entre les périphériques de stockage
informatiques tels que les disques durs et les lecteurs de
bandes. Il succède à Parallel SCSI et utilise le jeu de commandes
SCSI standard.
 LES INTERFACES DE DISQUES

 SSD PCIe
• Un SSD PCIe est une carte d’extension série haute vitesse qui intègre
la mémoire flash directement dans la carte mère. Ces périphériques
se connectent à la machine hôte via sa propre liaison série en
éliminant le besoin de partager un bus, en réduisant la latence et en
améliorant les vitesses de transfert de données entre un serveur et
le stockage.

 Protocole de stockage SSD: NVMe SSD

• Non-Volatile Memory Express (NVMe) est un protocole de stockage
développé pour la mémoire flash NAND et les SSD hautes
performances qui utilisent la technologie de slot pour carte PCIe.
Avec son système de file d’attente parallèle, NVMe surmonte les
limites du SATA et d’autres options de stockage SSD.
STRUCTURE LOGIQUE DU DISQUE
 STRUCTURE LOGIQUE DU DISQUE

• La structure logique d’un disque dur dépend principalement des

systèmes de fichiers utilisés et du logiciel, tel que le système
d’exploitation. Ces facteurs contrôlent et définissent le processus
d’accès aux données sur le disque dur.
• Les systèmes d’exploitation utilisent différents types de systèmes de
fichiers, et ces systèmes de fichiers utilisent divers autres types de
mécanismes de contrôle et d’accès aux données sur le disque dur.
• Les systèmes d’exploitation organisent le même disque dur de
différentes manières.
• La structure logique du disque dur influence directement la
cohérence, les performances, la compatibilité et l’évolutivité des
sous-systèmes de stockage du disque dur.
 LES CLUSTERS

 Les clusters sont les plus petites unités logiques de stockage accessibles sur
un disque dur

 Les clusters sont formés en combinant des secteurs pour faciliter le processus
de traitement des fichiers. Aussi appelés unités d’allocation, les clusters sont
des ensembles de pistes et de secteurs allant du cluster numéro 2 au cluster
32 ou plus, selon le schéma de formatage
 L’allocation peut être de la taille d’un secteur par cluster. Tout processus de
lecture ou d’écriture consomme un espace minimum d’un cluster.
 La taille du cluster dépend entièrement du volume de disque et varie de 4 à
64 secteurs. Dans certains cas, la taille du cluster peut être de 128 secteurs
 Dans un cluster, lorsque le système de fichiers stocke un fichier plus petit que
la taille du cluster, l’espace supplémentaire est gaspillé et est appelé espace
libre.
 TAILLE DES CLUSTERS

 Le dimensionnement du cluster a un impact significatif sur les performances d’un système

d’exploitation et l’utilisation du disque
 Le système peut modifier la taille du cluster d’une partition existante pour améliorer les
performances. Si la taille du cluster est de 8192 octets, le système de fichiers alloue un cluster
entier pour stocker un fichier de 5000 octets
 Le système de fichiers conserve les entrées du cluster. Les clusters forment des chaînes sur le
disque
 Le système de fichiers peut stocker les fichiers en morceaux situés n’importe où sur le disque et le
déplacer n’importe où après la création du fichier. Ce chaînage de cluster est invisible pour le
système d’exploitation. Les utilisateurs peuvent modifier la taille du cluster uniquement lors du
reformatage du lecteur
 CLUSTERS PERDUS

 Un cluster perdu est une erreur FAT (File Allocation Table) qui se produit lorsque le système
d’exploitation marque les clusters comme utilisés mais ne leur alloue aucun fichier
 L’utilisateur ne ferme pas correctement les fichiers ou arrête un ordinateur sans fermer une
application. Ces erreurs se produisent également en raison de corruptions de disque telles que des
pilotes défectueux et des conflits de ressources
 Les programmes de vérification sur disque peuvent analyser le système informatique à la recherche
de clusters perdus à l’aide de la procédure suivante
• Une copie dupliquée est générée dans la mémoire de FAT tout en notant tous les clusters marqués comme «
en cours d’utilisation »
• À partir du répertoire racine, les clusters utilisés par un fichier sont tracés et marqués comme
« comptabilisés » pour les connecter au fichier. Cette procédure est répétée pour tous les sous-répertoires.
• Les clusters perdus ou « orphelins » sont marqués dans la FAT comme étant utilisés mais n’ont aucun lien
vers un fichier
 SLACK SPACE – (ESPACE LIBRE)

 L’espace libre est la zone gaspillée d’un cluster de disques située entre la fin d’un
fichier et la fin du cluster
 Il est créé lorsque le système de fichiers alloue un cluster complet à un fichier plus
petit que la taille du cluster
 Les systèmes de fichiers DOS et Windows utilisent des clusters de taille fixe
 Par exemple, si la taille de chaque partition est de 4 Go, la taille de chaque cluster est
de 32 Ko et un fichier ne nécessite que 10 Ko, le système alloue un cluster entier de 32
Ko, ce qui donne 22 Ko d’espace libre.
 SLACK SPACE – (ESPACE LIBRE)

 L’espace libre est la zone gaspillée d’un cluster de disques située entre la fin d’un
fichier et la fin du cluster
 Il est créé lorsque le système de fichiers alloue un cluster complet à un fichier plus
petit que la taille du cluster
 Les systèmes de fichiers DOS et Windows utilisent des clusters de taille fixe
 Par exemple, si la taille de chaque partition est de 4 Go, la taille de chaque cluster est
de 32 Ko et un fichier ne nécessite que 10 Ko, le système alloue un cluster entier de 32
Ko, ce qui donne 22 Ko d’espace libre.
 SLACK SPACE – (ESPACE LIBRE)

 Pour éliminer cette inefficacité, le système utilise le partitionnement. Une autre approche
pour réduire l’espace libre consiste à utiliser le système de fichiers NTFS (New Technology
File System), qui permet des clusters beaucoup plus petits sur de grandes partitions que FAT
 Types de fichiers Slack
 RAM slack: RAM slack est l’espace de stockage de données qui commence de la fin d’un fichier à la
fin du dernier secteur du fichier
 Drive slack: Drive slack est l’espace de stockage de données qui commence à la fin du dernier secteur
d’un fichier à la fin du dernier cluster du fichier

 Dans le domaine des investigations numériques, l’espace libre est une forme importante de
preuve. Souvent, l’espace libre peut contenir des informations suspectes pertinentes
 MASTER BOOT RECORD (MBR)

 Master Boot Record (MBR) fait référence au premier secteur ou secteur zéro d’un disque dur,
qui spécifie l’emplacement d’un système d’exploitation pour le système à charger dans le
stockage principal
 Un fichier MBR contient des informations sur les différents fichiers présents sur le disque,
leurs emplacements et leurs tailles
 Le MBR est utilisé pour :
 Tenir une table de partition qui fait référence aux partitions d’un disque dur
 Démarrage d’un système d’exploitation
 Reconnaissance distinctive des supports de disque dur individuels avec une signature de disque 32
bits
 MBR STRUCTURE

 Table de partition
• Une table de partition est une structure de données de 64 octets qui stocke des informations sur les
types de partitions présentes sur le disque dur et leurs emplacements.
• Seulement quatre partitions primaires – les autres sont logiques

 Master boot code

• Le code de démarrage principal est un petit morceau de code informatique que le système charge dans le
BIOS et exécute pour lancer le processus de démarrage du système. Après l’exécution, le système
transfère les contrôles au programme de démarrage présent sur la partition active pour charger le
système d’exploitation
• Fonctions
o Examine la table de partition pour trouver la partition active
o Localise le premier secteur de la partition active
o Charge une copie du secteur d’amorçage de la partition active en mémoire
o Transfère le contrôle au code exécutable dans le secteur d’amorçage
 MBR STRUCTURE

 The structure of MBR consists of three parts

• Code de démarrage principal - C’est un code exécutable
et responsable du chargement du système d’exploitation
dans la mémoire de l’ordinateur. Il se compose d’une
structure de données de 446 octets.
• Table de partition - Il maintient les données de toutes les
partitions de disque dur et se compose d’une structure
de données de 64 octets
• Signature de disque – Il est situé à la fin du MBR et ne
contient que 2 octets de données. Il est requis par le BIOS
lors du démarrage.
 BLOC DE PARAMÈTRES DU BIOS (BPB)

 Le bloc de paramètres BIOS (BPB) est une

structure de données située au secteur 1 dans
l’enregistrement de démarrage du volume (VBR)
d’un disque dur
 Explique la disposition physique d’un volume de
disque
 Il décrit la partition de volume ou l’ensemble du
support
 La longueur du BPB varie selon les systèmes de
fichiers répertoriés (FAT16, FAT32 et NTFS.
 BPB aide les enquêteurs à localiser la table de
fichiers sur le disque dur
 IDENTIFICATEUR GLOBAL UNIQUE (GUID)

 L’identificateur global unique (GUID) est un num unique

de 128 bits généré par l’OS Windows pour identifier un
périphérique spécifique, un document, une entrée de
base de données et/ou l’utilisateur
 Utilisations courantes:
• Dans le Registre Windows, les GUID sont utilisés pour
identifier les DLL COM (Component Object Model)
• Dans les tables de base de données, les GUID sont utilisés
comme valeurs de clé primaire
• Dans certains cas, un site Web peut attribuer un GUID au
navigateur d’un utilisateur pour enregistrer et suivre la
session.
• Windows affecte un GUID à un nom d’utilisateur pour
identifier les comptes d’utilisateurs
 TABLE DE PARTITION GUID (GPT)

 GUID est un schéma de partitionnement standard pour les disques durs et fait partie
de l’interface UEFI (Unified Extensible Firmware Interface), qui remplace les
interfaces de microprogramme du BIOS
 Le schéma de partition MBR utilise 32 bits pour stocker les adresses de bloc logique
(LBA) et les informations de taille sur les secteurs de 512 octets.
 Les GPT utilisent l’adressage par bloc logique (LBA) au lieu de l’adressage par
culasse-secteur (CHS). Dans la table de partition GUID (GPT),
 Chaque bloc logique est de 512 octets et chaque entrée de partition est de 128 octets
 LBA 0 stocke le MBR de protection, LBA 1 contient l’en-tête GPT et l’en-tête GPT
comprend un pointeur vers la table de partition ou le tableau d’entrée de partition au
niveau LBA 2
 TABLE DE PARTITION GUID (GPT)

 Avantages de la disposition GPT

 Prend en charge une taille de partition maximale allant de 2 Tebioctets
(Tio) à 8 Zebioctets (ZiB)
 128 partitions dans Windows en utilisant la disposition de partition GPT
 La partition GPT et les données de démarrage sont plus sécurisées que
MBR car GPT stocke les données dans plusieurs emplacements sur un
disque
 Fournit des tables de partition principale et de sauvegarde pour la
redondance
 Il utilise des contrôles de redondance cyclique (CRC) pour garantir
l’intégrité des données
 Utilise des sommes de contrôle CRC32 qui détectent les erreurs dans l’en-
tête et la table de partition
 PROCESSUS DE DÉMARRAGE DES SYSTÈMES
D’EXPLOITATION WINDOWS, LINUX ET MAC

 Démarrage à froid (démarrage dur) : ce processus se

produit lorsque l’utilisateur allume l’ordinateur pour
la première fois. Également appelé démarrage dur, il
est nécessaire après que l’utilisateur ait
complètement coupé l’alimentation du système
 Démarrage à chaud (démarrage logiciel): C’est le
processus de redémarrage d’un ordinateur qui est
déjà allumé. Un démarrage à chaud peut se produire
lorsque le système rencontre une erreur de
programme ou nécessite un redémarrage pour
apporter certaines modifications après l’installation
d’un programme, etc.
 PROCESSUS DE DÉMARRAGE DES SYSTÈMES
D’EXPLOITATION WINDOWS, LINUX ET MAC

 Pendant le processus de démarrage, l’ordinateur charge le système d’exploitation dans

sa mémoire ou sa RAM et le prépare à l’utilisation. Lors de l’initialisation, le système
allume le BIOS et le charge sur la RAM. Le BIOS stocke la première instruction, qui est la
commande permettant d’effectuer l’auto-test de démarrage (POST).
 Dans le cadre de l’auto-test de démarrage (POST), le système vérifie la puce BIOS et la
RAM CMOS (Metal-Oxide-Semiconductor) complémentaire.
 Si l’auto-test de démarrage (POST) ne détecte aucune défaillance de la batterie, il
continue le démarrage des autres sous systèmes en vérifiant les périphériques
matériels et les périphériques de stockage secondaires.
 LES FICHIERS ESSENTIELS
Noms de fichiers Description

Ntoskrnl.exe Exécutif et noyau

Executive et noyau avec prise en charge de l’extension d’adresse physique

Ntkrnlpa.exe
(PAE)
Hal.dll Couche d’abstraction matérielle
Partie en mode noyau du sous-système Win32
Win32k.sys

Fonctions de support interne et talons de répartition des services système

Ntdll.dll
aux fonctions exécutives

Kernel32.dll

Advapi32.dll
Win32 fichiers DLL du sous-système
User32.dll
Gdi32.dll
 PROCESSUS DE DÉMARRAGE DE WINDOWS :
MÉTHODE BIOS-MBR
 <= Windows 7 utilises la méthode BIOS-MBR

 > Win 7 BIOS-MBR ou UEFI-GPT

1. Lorsque l’utilisateur allume le système, le processeur envoie un signal Power Good à la carte mère et vérifie
le microprogramme du BIOS de l’ordinateur.

2. Le BIOS démarre un auto-test de démarrage (POST), qui vérifie si tout le matériel requis pour le démarrage
du système est disponible et charge tous les paramètres du microprogramme de la mémoire non volatile
sur la carte mère

3. Si l’auto-test de démarrage (POST) réussit, les adaptateurs complémentaires effectuent un auto-test

d’intégration avec le système

4. Le processus de pré-démarrage est terminé avec l’auto-test de démarrage (POST), détectant une partition
de démarrage système valide

5. Après le POST, le MBR est chargé. Le MBR recherche les informations de démarrage dans le Boot
Configuration Data (BCD)
 PROCESSUS DE DÉMARRAGE DE WINDOWS :
MÉTHODE BIOS-MBR
6. Le MBR lance Bootmgr.exe, qui localise et démarre le chargeur Windows (Winload.exe)

7. Le chargeur Windows charge le noyau du système d’exploitation ntoskrnl.exe

8. Ensuite il charge les pilotes de périphériques hal.dll, de classe de démarrage marqués comme BOOT_START,
et la ruche de registre SYSTEM dans la mémoire

9. Le noyau transmet le contrôle du processus de démarrage au processus de gestion de session (SMSS.exe),

qui charge toutes les autres ruches de registre et pilotes requis pour configurer l’environnement
d’exécution du sous-système Win32

10. Le processus Gestionnaire de session déclenche Winlogon.exe, qui présente l’écran de connexion

11. Le Gestionnaire de contrôle des services démarre tous les services, le reste des pilotes de périphériques
non essentiels, le LSASS .EXE du sous-système de sécurité et les scripts de stratégie de groupe

12. Une fois que l’utilisateur se connecte, Windows crée une session pour l’utilisateur

13. Le Gestionnaire de contrôle des services démarre l’explorateur.exe et lance le processus Gestionnaire de
fenêtres de bureau (DMW), qui initialise le Bureau pour l’utilisateur
PROCESSUS DE DÉMARRAGE DE WINDOWS :
MÉTHODE BIOS-MBR
IDENTIFICATION DE LA PARTITION MBR
PROCESSUS DE DÉMARRAGE DE WINDOWS : UEFI-
GPT
 Cinq phases
1. La phase de sécurité ou SEC EFI consiste en un code d’initialisation que le système exécute après la mise sous tension
du système EFI. Il gère l’initialisation pré-EFI (PEI)
2. La phase PEI initialise le processeur, la mémoire permanente et le volume du microprogramme de démarrage (BFV). Il
localise et exécute les modules de pré-initialisation (PEIM) présents dans le BFV afin d’initialiser tout le matériel
trouvé dans le système. Enfin, il crée une Hand-Off Block List (HOBL) avec toutes les ressources trouvées et les
descripteurs d’interface et la transmet à la phase suivante, c’est-à-dire la phase DXE
3. Phase de l’environnement d’exécution du pilote: La majeure partie de l’initialisation se produit dans cette phase. À
l’aide de HOBL, l’environnement d’exécution de pilotes (DXE) initialise toute la mémoire physique du système, des
E/S et des ressources MIMO (Memory Mapped I/O) et commence enfin à distribuer les pilotes DXE présents dans les
volumes du microprogramme système (indiqués dans le HOBL). Le noyau DXE produit un ensemble de services de
démarrage EFI et de services d’exécution EFI. Les services de démarrage EFI allouent de la mémoire et chargent des
images exécutables. Les services d’exécution EFI convertissent les adresses mémoire physiques en virtuelles, les
transfèrent au noyau et réinitialisent le processeur pour le code exécuté dans l’environnement EFI ou dans le noyau
du système d’exploitation, une fois que le processeur prend le contrôle du système.
PROCESSUS DE DÉMARRAGE DE WINDOWS : UEFI-
GPT
 Cinq phases
4. Phase de sélection du périphérique d’amorçage : la sélection du périphérique d’amorçage (BDS)
interprète les données de configuration de démarrage et sélectionne la stratégie de démarrage pour
une implémentation ultérieure. Cette phase fonctionne avec le DXE pour vérifier si les pilotes de
périphériques nécessitent une vérification de signature. Dans cette phase, le système charge le code de
démarrage MBR en mémoire pour un démarrage BIOS hérité ou charge le programme de chargeur de
démarrage à partir de la partition EFI pour un démarrage UEFI. Il offre également à l’utilisateur la
possibilité de choisir le shell EFI ou une application UEFI comme périphérique de démarrage à partir
de la configuration

4. Phase d’exécution : à ce stade, le système efface le programme UEFI de la mémoire et le transfère au

système d’exploitation.
PROCESSUS DE DÉMARRAGE DE WINDOWS : UEFI-
GPT
 IDENTIFICATION DE LA PARTITION GUID (GPT)

 Un en-tête de table de partition GUID (GPT) permet d’analyser la disposition du disque avec des
détails tels que les emplacements de la zone de partition ainsi que la table de partition et ses
copies de sauvegarde
 La commande Get-GPT pour analyser la structure de données GPT du disque dur ou Get-MBR si le
disque est formatté MBR
 Autres commandes
 Get-BootSector analyse le premier secteur du disque dur, détermine le type de formatage utilisé, puis analyse le GPT
 Get-PartitionTable analyse la table de partition GUID pour trouver le type exact de secteur d’amorçage (MBR ou GPT)
et affiche l’objet de partition
 ANALYSE DES EN-TÊTES GPT

 La plupart des systèmes d’exploitation qui prennent en

charge l’accès au disque GPT disposent d’un outil de
partitionnement de base, qui affiche des détails sur les
tables de partition GPT. Sous Windows, des outils tels
que l’outil DiskPart affichent les détails de la partition,
tandis que les systèmes Mac utilisent l’utilitaire OS X
Disk et Linux utilise l’outil GNU Parted
 La commande mmls de Sleuth Kit peut aider les
enquêteurs à visualiser la disposition détaillée de la
partition pour le disque GPT, ainsi que les détails MBR
 LES ARTIFACTS GPT

 Cas 1: Sur les disques durs, la conversion de MBR en GPT écrase généralement le secteur zéro avec un MBR
de protection, qui supprime toutes les informations sur l’ancienne table de partition. Les investigateurs
doivent suivre les méthodes d’investigation standard de recherche dans les systèmes de fichiers afin de
récupérer des données sur les volumes partitionnés MBR précédents.

 Cas 2 : Lorsqu’une conversion de GPT en MBR se produit, l’en-tête et les tables GPT peuvent rester intacts en
fonction de l’outil utilisé. Les investigateurs peuvent facilement récupérer ou analyser les données de ces
partitions de disque.

 L’usage d’outils généraux de suppression de partition pour la suppression d’une partition sur un disque GPT
pourrait supprimer uniquement le MBR de protection, que les enquêteurs peuvent facilement recréer en
reconstruisant simplement le disque.

 Conformément à la spécification UEFI, si tous les champs d’une entrée de partition ont des valeurs mises à
zéro, l’entrée n’est pas utilisée. Dans ce cas, la récupération de données à partir d’entrées de partition GUID
supprimées n’est pas possible.
 LES ARTIFACTS GPT
 GUIDs
• Le schéma GPT fournit des GUID ayant une valeur d’investigation car ils sont uniques et contiennent
potentiellement des informations sur l’ensemble du disque et chaque partition qu’il contient.
• Les GUID possèdent des informations d’identification uniques pour les disques et les partitions
individuelles
• Les chercheurs peuvent utiliser des outils tels que l’identificateur universel unique (UUID) pour
décoder différentes versions de GUID/UUID

 Informations cachés sur les disques GPT

• Les intrus peuvent cacher des données sur des disques GPT de la même manière qu’ils le font sur des
disques MBR conventionnels en utilisant des schémas de partitionnement de disque flexibles et
extensibles. Les données peuvent être cachées dans les espaces entre partitions, l’espace non
partitionné vers la fin du disque, l’en-tête GPT et les zones réservées.
• D’autres artefacts peuvent inclure des en-têtes GPT manipulés qui créent des emplacements pour
cacher des données, des LBA de début et de fin mal placés, ainsi que des zones avec des balises
réservées.
 DÉMARRAGE LINUX
 Trois étapes
• La première étape du processus de démarrage Linux est l’étape BIOS. Il initialise le matériel système
pendant le processus de démarrage. Le BIOS récupère les informations stockées dans la puce CMOS
(Complementary Metal-Oxide Semiconductor), qui est une puce de mémoire fonctionnant sur batterie
sur la carte mère qui contient des informations sur la configuration matérielle du système
• L’étape du chargeur de démarrage comprend la tâche de chargement du noyau Linux et du disque
RAM initial en option. Le noyau permet au processeur d’accéder à la RAM et au disque. Le deuxième
logiciel précurseur est une image d’un système de fichiers virtuel temporaire appelé image initrd ou
RAMdisk initial
• Une fois que le contrôle passe de l’étape du chargeur de démarrage à l’étape du noyau, le système de
fichiers racine virtuel créé par l’image initrd exécute le programme Linuxrc. Ce programme génère le
système de fichiers réel pour le noyau et supprime plus tard l’image initrd. Le noyau recherche ensuite
le nouveau matériel et charge tous les pilotes de périphériques appropriés trouvés. Par la suite, il monte
le système de fichiers racine réel et effectue le processus d’initialisation. L’initialisation lit le fichier
« /etc/inittab » et utilise ce fichier pour charger le reste des processus système.
DÉMARRAGE LINUX
LES SYSTÈMES DE FICHIERS
WINDOWS, LINUX ET MAC
 SYSTÈMES DE FICHIERS WINDOWS - FAT
 La table d’allocation de fichiers (FAT), conçue en 1976, est un système de fichiers pour de nombreux
systèmes d’exploitation tels que DOS, Windows et OpenDOS. Conçu pour les petits disques durs et une
structure de dossiers simple, le système de fichiers FAT est nommé d’après la façon dont il organise les
dossiers et une table d’allocation de fichiers, qui stocke tous les fichiers et réside au début du volume

 FAT crée deux copies de la table d’allocation de fichiers pour protéger le volume contre les dommages.
La table d’allocation de fichiers et le dossier racine sont stockés dans un emplacement permanent. Le
volume formaté à l’aide du système de fichiers FAT forme un cluster, et la taille du volume formaté
détermine la taille du cluster
 SYSTÈMES DE FICHIERS WINDOWS - NTFS
 C’est un système de fichiers haute performance qui se répare tout seul
 Il prend en charge plusieurs fonctionnalités avancées telles que la sécurité au niveau des
fichiers, la compression et l’audit
 Il prend également en charge des solutions de stockage de volumes volumineux et
puissantes, telles que les disques à récupération automatique
 NTFS assure la sécurité des données car il a la capacité de chiffrer ou de déchiffrer des
données, des fichiers ou des dossiers.
 Il utilise une méthode de dénomination de jeu de caractères Unicode 16 bits pour les fichiers
et les dossiers. Cet attribut de NTFS permet aux utilisateurs du monde entier de gérer leurs
fichiers dans leur langue native
 SYSTÈMES DE FICHIERS WINDOWS - NTFS
 Les fonctionnalités de NTFS
• NTFS utilise le schéma de répertoires b-tree pour stocker des informations sur les clusters de
fichiers
• NTFS stocke les informations sur les clusters d’un fichier et d’autres données au sein du cluster
• NTFS prend en charge des fichiers d’une taille maximale d’environ 16 milliards d’octets
• Une liste de contrôle d’accès (ACL) permet à l’administrateur du serveur d’accéder à des fichiers
spécifiques
• NTFS intègre la compression de fichiers
• NTFS assure la sécurité des données sur les disques amovibles et fixes
 ARCHITECTURE- NTFS
 Composants de l’architecture NTFS:
• Disque dur: Il est composé d’au moins une partition
• Master Boot Record : il contient le code de démarrage principal exécutable que le BIOS du système
informatique charge en mémoire ; ce code est utilisé pour analyser le Master Boot Record afin de
localiser la table de partition afin de déterminer quelle partition est active/amorçable
• Secteur d’amorçage: Également connu sous le nom d’enregistrement de démarrage de volume
(VBR), il s’agit d’un tout premier secteur trouvé dans un système de fichiers NTFS qui stocke le
code de démarrage et d’autres informations, telles que le type, l’emplacement ou la taille des
données dans le système de fichiers NTFS.
• Ntldlr.dll : En tant que chargeur de démarrage, il accède au système de fichiers NTFS et charge le
contenu du fichier boot.ini
• Ntfs.sys : Il s’agit d’un pilote de fichiers système pour NTFS
• Mode noyau : C’est le mode de traitement qui permet au code exécutable d’avoir un accès direct à
tous les composants du système
• Mode utilisateur : c’est le mode de traitement dans lequel un programme ou un code exécutable
s’exécute
 LES FICHIERS SYSTÈME NTFS
Fichier Description

Contient les définitions de tous les attributs définis par le système et l’utilisateur du
$attrdef
volume

$badclus Contient tous les clusters défectueux

$bitmap Contient une image bitmap pour l’ensemble du volume

$boot Contient les données d’amorçage du volume

$logfile Utilisé à des fins de récupération

$mft Contient un enregistrement pour chaque fichier

$mftmirr Miroir du MFT utilisé pour la récupération de fichiers

$quota Indique le quota de disque pour chaque utilisateur

$upcase Convertit les caractères en majuscules Unicode

Contient le nom du volume et le numéro de version
$volume
 CHIFFREMENT DES SYSTÈMES DE FICHIERS (EFS)
 Pour protéger les fichiers contre les manipulations erronées et assurer leur sécurité, le système doit les
chiffrer. À cette fin, NTFS dispose du système de fichiers EFS (Encrypting File System) en tant que
fonctionnalité intégrée. Le chiffrement dans les systèmes de fichiers utilise la technologie de chiffrement
à clé symétrique avec la technologie de clé publique pour le chiffrement. L’utilisateur obtient un
certificat numérique avec une paire de clés composée d’une clé publique et d’une clé privée. Une clé
privée ne s’applique pas aux utilisateurs connectés aux systèmes locaux ; au lieu de cela, le système
utilise EFS pour définir une clé pour les utilisateurs locaux.

 Les composants
• Le service EFS, qui fait partie du sous-système de sécurité, agit comme une interface avec le pilote
• Le pilote EFS est un pilote de filtre de système de fichiers empilé sur NTFS. Il se connecte au service EFS pour
obtenir des clés de chiffrement de fichiers, des DDF, des DRF et d’autres services de gestion de clés.
• CryptoAPI contient un ensemble de fonctions qui permettent aux développeurs d’applications de chiffrer leurs
applications Win32
• CryptoAPI contient un ensemble de fonctions qui permettent aux développeurs d’applications de chiffrer leurs
applications Win32
• EFS fournit un ensemble d’API pour fournir un accès à ses fonctionnalités (opérations telles que le chiffrement de
fichiers texte brut, le déchiffrement ou la récupération de fichiers texte chiffré, et l’importation et l’exportation)
 FICHIERS FRAGMENTÉS
 Un fichier fragmenté est un type de fichier qui tente d’utiliser l’espace du système de fichiers plus
efficacement lorsque les blocs alloués au fichier sont pour la plupart vides. Pour améliorer l’efficacité, le
système de fichiers écrit de brèves informations (métadonnées) sur le fichier dans les blocs vides pour
remplir le bloc en utilisant une faible quantité d’espace disque

Sans attribut de fichier fragmenté Avec attribut de fichier fragmenté

 PRESENTATION pour 14-03-2023

• SYSTEMES DE FICHIERS LINUX – ADJAOUTE Sekm A. Didier

• SYSTEMES DE FICHIERS MAC OS - KORIKO Ghaffar

• PROCESSUS DE DEMARRAGE LINUX - KPEKPASSI Passah Michel

• PROCESSUS DE DEMARRAGE MAC OS - TETE Kodjovi