ALERTE performance :  la classe Win32_OperatingSystem !

La  classe WMI Win32_OperatingSystem est très populaire (à juste titre) chez les administrateurs système. Elle est fréquemment utilisée par exemple pour exécuter des actions spécifiques ou appliquer des stratégies de groupes (GPO)  spécifiques à une version  de Windows.

Cette classe (cf http://msdn.microsoft.com/en-us/library/aa394239(v=vs.85).aspx ) semble bien anodine et ne « collecte » que des « informations statiques » .

C’est sans compter avec le champ NumberOfProcesses !

Pour déterminer la valeur de NumberOfProcesses, le provider WMI fait lui-même une requête WMI  « SELECT __RELPATH FROM Win32_Process  »  qui charge considérablement le système.

Par exemple sur un « large serveur » RDS/Citrix avec :

• Plusieurs GPOs ayant un filtre du type :Select * FROM Win32_OperatingSystem WHERE Version like '6.3%'

• De scripts de logon avec des « select * Win32_OperatingSystem »

• Des « brokers » ou des outils de monitoring exécutant des « Select * from Win32_Process »

• De nombreux « logon »

Vous observerez rapidement :

• une forte consommation CPU dans le process WMIPRVSE

• des temps de « logon » important

• une forte contention « kernel »  liée à l’énumération des processus qui peut avoir des conséquences diverses et variées (lenteur lors du lancement du gestionnaire de tâches,…)

La solution est de limiter les champs retournés par la requête WQL. Le provider de la classe Win32_OperatingSystem ne collecte alors que les infos demandées. La requête « select Version from   Win32_OperatingSystem » n’énumère pas  la liste des processus.

Tip :

L’activation du tracing « WMI-Activity » (http://msdn.microsoft.com/en-us/library/aa826686(v=vs.85).aspx) permet d’identifier ce type de problème.

Travaillons aujourd’hui sur un autre scénario assez simple : Celui de la suppression accidentelle d’une partition.

Supposons que cette partition

soit devenue

Comme d’habitude, on contrôle les secteurs habituels et on voit celui qui pourrait manquer.

Au secteur 0, on a un MBR montrant une partition GPT qui occupe tout le disque

Au secteur 1, on retrouve un GPT Header :

Données:

• Sector Signature : EFI PART
• Version 0.1
• Header Size : 5C
• CRC32 of the Header : 2153345396
• Current / Alternate GPT Header : 1 / 266338303
• First / Last Usable LBA : 34 / 266338270
• Disk GUID : {04D4F64A-0F7B-49CE-9013-CF4EF9121641}
• Partition Table Address : 2
• Partition Count : 128
• Partition Table Entry Size : 128
• CRC32 of Partition Table : 1583197318

Et le secteur 266338303 montre la même chose.

Le secteur 2 nous montre une table de partitions ne contenant que la partition MSR (comme quoi, rien n’est perdu), et le secteur 266338271 (Last usable +1) nous montre la même chose.

Allons donc voir si une partition NTFS pourrait trainer sur le disque.

Comme la partition MSR finit au secteur 262177, on devrait en trouver une plus loin, en principe aligné sur 64KB.

C’est au secteur 264192 que nous allons la trouver

Total Sectors : 266072063 (~126.8 GB) : Le secteur de fin devrait se trouver 266336255 ( = 266072063 + 264192 )

Clusters to MFT / MFTMirr : 786432 (LBA 6555648 = 264192 + 8*786432 ) / 2 (LBA 264208 = 264192 + 8*2)

Et ce sont bien des entrées de MFT que l’on trouve à ces secteurs:

Résumons-nous :

• LBA 0 : La partition GPT
• LBA 1 et Backup : Les GPT Headers
• LBA 2 et Backup : Une table de partition ne contenant que la partition MSR
• LBA 264192 et 266336255 : Encadrent la partition NTFS

En principe, comme pour une partition MBR :

• Sauvegarder le 1^er secteur de la partition NTFS
• Créer une partition occupant tout le disque sans la formater
• Ecraser le 1^er secteur de la nouvelle partition NTFS par celui précédemment sauvegardé.

Quand vient le moment de formater, ne pas formater.

A ce moment-là, le secteur 264192 a été vidé de son contenu (puisque nous n’avons pas fourni de file system)

En écrasant ce secteur par celui que nous avons sauvegardé, c’est comme si nous formatons la partition.

DskProbe.exe permet d’écraser un secteur du disque.

Après vérification rapide (secteur de fin de partition, MFT, MFTMirr) un rescan du disque fait revenir la partition comme par magie.

Serge Gourraud
55 AA

Maintenant que nous avons vu les structures qui décrivent les partitions des disques basiques GPT, voyons où nous pouvons rencontrer une corruption et comment la réparer (ou pas)

Si nous reprenons notre schéma, une corruption pourrait arriver :

• Dans le MBR
• Dans le GPT Header
• Dans la table de partition (qui occupe les secteurs 2 à 33)
• Dans les NTFS Boot Sectors
• Dans la MFT (utiliser chkdsk)

La structure GPT est très robuste en ceci que windows maintient une consistance entre les GPT Header de début et de fin, ainsi que dans les tables de partitions de début et de fin, de façon à ce que si quelqu’un vient à supprimer l’un d’eux, il sera réparé au moins au prochain reboot.

La partie non protégée est le MBR (secteur 0) et c’est jusqu’à présent la seule corruption que j’ai eu à réparer sur des disques GPT Basiques.

Nous n’allons donc voir que deux types de corruption

• MBR
• Partition Table
• NTFS : Déjà couvert dans les parties précédentes.

Premier type de corruption (le seul déjà rencontré au support) : Vidage du MBR

Voilà à quoi cela ressemble dans le gestionnaire de disque :

A l’éditeur hexa, on ne voit que des 00:

Le secteur 1 contient bien ce qui ressemble à un GPT Header

Ses données semblent correctes

Si on ouvre le GPT Header alternative, on retrouve les mêmes données :

Si on parcours la table de partition (LBA 2) on trouve une table de partition contenant la MSR et 3 partitions de données. Dans mon cas, je n’ai que 3 partitions sur mon disque donc, les autres LBAs (jusqu’au 33) sont vides.

On peut reporter les données dans ce tableau (pour l’interprétation, se référer au chapitre précédent)

Dans le cadre d’une réparation, il faut bien vérifier que les secteurs 264192/184416255 , 184416256/245854207 et 245854208/266334207 sont des secteurs NTFS et contrôler qu’ils pointent bien vers une MFT a priori correcte. (nous avons traité ces points dans les articles précédents)

Donc:

• Les "GPT Header" principal et secondaire sont Ok
• Les "GPT Entries" des "Partition Table" principale et secondaire sont Ok
• Les structures NTFS sont Ok

Seul le MBR est à reconstruire

Il ne nous reste plus qu’à réparer le MBR en se souvenant qu’ils sont tous identiques.

En utilisant un éditeur hexa il reste à écrire ces données :

Et c’est tout. Un rescan du disque et on n’en parle plus.

Serge Gourraud
55 AA

Maintenant que les disques basiques MBR (partitions primaires et étendues) n’ont plus de secrets pour nous, nous allons nous intéresser au disques basiques GPT.

Reprenons le schéma qui décrit la structure d’un disque basique GPT et essayons de voir à quoi cela ressemble concrètement.

Commençons par le secteur 0:

Remarques:

• Il n’y a plus de signature. Nous n’en avons plus besoin car nous identifions désormais le disque par GUID, et cette information sera stockée ailleurs.
• Il n’y a qu’une seule entrée dans la table de partition, et ses propriétés sont telles que tout le disque est occupé.

Le MBR est dit “protecteur” car il contient une partition qui couvre tout le disque (Relative Sector 1 / Total Sectors FFFFFFFF), et aussi car nous avons des secteurs importants

Voici ce à quoi ressemble le secteur 1 : 

Ce secteur est le GPT Header et contient ces informations :

Toutes les données sont importantes, mais celles qui nous intéressent pour faire des réparations sont :

• La signature ("EFI PART") : Pour reconnaitre le secteur (nous n’avons plus de 55 AA)
• Les CRC32 : Ceux-ci sont importants car ils permettent au système de vérifier que quelqu’un n’a pas modifié des entrées dans ses tables à la main, en by-passant le système.

• http://msdn.microsoft.com/en-us/library/dd905031(v=office.12).aspx

• L’adresse courante du header (1) et l’adresse du GPT Header alternatif (266338303)
• Le début de la table de partition (2) et le nombre de partition qu’elle peut contenir (128)
• Les 1ers et derniers secteurs utilisables (en général le dernier +1 contient le début de la table de partitions
• Un GUID qui représente le disque (sa signature)

Cette structure est décrite sur http://msdn.microsoft.com/en-us/library/windows/desktop/aa365449(v=vs.85).aspx

Regardons le secteur 2 : Début de la table de partition.

Il faut y voir 4 régions de 128 bytes chacune : Une entrée dans la table de partition fait 128 bytes

Dans le cas présent, les 2 premières entrées sont occupées et les autres sont vides

Première entrée

Seconde entrée

Vous pourrez trouver des informations complémentaires sur ces structures dans l’article http://msdn.microsoft.com/en-us/library/windows/desktop/aa365449(v=vs.85).aspx

Plus d’informations sur la Microsoft Data Partition (MSR) dans la FAQ GPT:

http://msdn.microsoft.com/en-us/library/windows/hardware/dn640535(v=vs.85).aspx#gpt_faq_what_is_msr

Donc, la première entrée est pour la MSR et la seconde pour la partition de données de type « Basic Data Partition ».

Puisqu’il s’agit d’une partition NTFS, nous pouvons trouver les NTFS Boot Sectors aux LBA 264192 et 266336255

Et voilà:

On peut y lire:

Déjà on retrouve notre signature 55 AA (qui commençait à manquer un des mes amis blogueurs)

• Le Relative Sector : 00 08 04 00 --> 00 04 08 00 = 40800 = 264192 LBA
• Total Sectors: FF EF DB 0F 00 00 00 00 --> FDBEFFF = 266072063 Secteurs

Le NTFS Boot sector de backup montrera la même information.

Le GPT Header nous avait parlé du Last Usable LBA (266338270)

Le LBA juste après montre bien une copie de la table de partition (266338270 + 1 = 266338271 )

Un espace de 128 entrées (si on en prend 4 par secteur de 512 ça fait 32 secteurs) est reservé pour y stocker toute la table de partitions

Les angoissés qui aiment que tout soit bien aligné éprouveront sans doute un plaisir non caché en constatant que 26638271 + 32 = 266338303 : C’est exactement l’emplacement du GPT Header alternatif.

C’est vrai que c’est rassurant quand même _{… quelque part … moi, je trouve ça rassurant.}

Comme on adore les schémas qui montre la beauté de l’alignement des secteurs, en voici un qui reprend les valeurs que nous avons trouvées.

Voilà, vous savez désormais tout sur la façon dont les partitions sont référencées dans des disques GPT. Dans le prochain article, nous allons voir où peuvent se glisser des corruptions et comment les réparer (ou pas).

Serge Gourraud
55 AA

Supposons maintenant que ce disque qui contient ces 3 partitions :

Se soit transformé en ceci:

Ce sont des choses qui arrivent quand le MBR (secteur 0 du disque) a été vidé.

Rappelons la structure d’un disque contenant 3 partitions et essayons de voir ce qu’on a concrètement sur le disque

Le secteur 0 est vide: Pas de signature, pas de code, pas de table de partitions

Sur des disques MBR Basiques c’est au secteur 2048 que démarre la première partition (sur les anciennes architectures, on aurait cherché au secteur 63 voire 31 mais ça nous ramené à NT4.0)

Le secteur 2048 nous montre ceci :

Et nous pouvons y lire ces informations :

• OEM ID (offset 30) : NTFS
• Bytes per Sector (offset 0B) : 00 02 -> 512
• Sectors per cluster (offset 0D) : 08
• Cluster per MFT Record (offset 40) : F6 -> 1K
• Total Sectors (offset 28) : FF 67 C5 09 00 00 00 00 -> 163932159 sectors (~78GB
  • Backup NTFS Boot Sector = 163932159 + 2048 = 163934207
• Clusters to MFT (offset 30) : 00 00 0C 00 00 00 00 00 -> 78643
  • La partition démarrant en 2048 : on trouvera la MFT en 2048 + 8 * 786432 = 629350
• Clusters to MFTMirr (offset 38) : 02 00 00 00 00 00 00 00 -> 2
  • 2048 + 8 * 2 = 2064

Pour résumer :

• Le dernier secteur de la partition devrait se trouver en 163934207
• La MFT en 786432 (et son "backup" en 2064
• Le champ $Volume en 6293510 ( = 6293504 + 2*3)

Le NTFS Boot Sector de backup en 163934207

Le secteur 786432 ressemble à un début de MFT

Et visiblement, on retrouve le nom du volume

Nous savons désormais que notre première partition démarre au secteur 2048 et finit au secteur 163934207

Comme tout est aligné, la seconde partition devrait démarrer au secteur 163934207 + 1 = 163934208

Fantastique!

On peut également y lire:

• OEMID (offset 30) : NTFS
• Bytes per Sector (offset 0B) : 00 02 -> 512
• Sectors per cluster (offset 0D) : 08
• Cluster per MFT Record (offset 40) : F6 -> 1 record MFT = 1K
• Total Sectors (offset 28) : FF 7F A9 03 00 00 00 00 : 61439999 sectors (~29 GB)
  • Backup NTFS Boot Sector : 61439999 + 163934208 = 225374207
• Clusters to MFT (offset 30) : 00 00 0C 00 00 00 00 00 : 786432 -> 163934208 + 8 * 786432 = 170225664
• Clusters to MFTMirr (offset 38) : 02 00 00 00 00 00 00 00 : 2 -> 163934208 + 8 * 2 = 163934224

De même, la 3ième partition sensé démarrer un secteur plus loin y est bien présente :

225374207 + 1 = 225374208

Total sectors: 0270FFFF = 40959999 = 40959999 *512 = 20971519488 Bytes

Backup Boot Sector : 40959999 + 225374208 = 266334207

Il faudra faire un contrôle complet de chaque secteur important (NTFS / Backup NTFS / MFTMirr / MFT / MFT.$Volume) et on peut dresser cette carte du disque :

• Première Partition :
  • Nom du volume Part1
  • Taille en secteurs: 163932159
  • Démarre au secteur: 2048
  • MFT localisée au secteur: 6293504
  • Termine au secteur: 16393420
• Deuxième Partition :
  • Nom du volume: Part2
  • Taille en secteurs: 61439999
  • Démarre au secteur: 163934208
  • MFT localisée au secteur: 170225664
  • Termine au secteur: 225374207
• Troisième Partition :
  • Nom du volume: Part3
  • Taille en secteurs: 40959999
  • Démarre au secteur: 225374208
  • MFT localisée au secteur: 231665664
  • Termine au secteur: 266334207

Il est très important de tout bien verifier: Si vous faites une erreur d’un secteur et que votre partition ne trouve pas sa MFT, notre  vieil ami chkdsk se fera un plaisir d’un générer automatiquement une toute nouvelle MFT, tout vide, juste pour vous. 

Et nous pouvons démarrer notre réparation

Première étape: Initialiser le disque (le code, la signature et une table de partition vide seront écrites)

Maintenant, il nous faut reprendre notre éditeur hexa préféré, le mien s’appelle DskProbe.exe car il permet d’appliquer un masque au données affichés par les secteurs.

(Pour information ce lien http://fr.wikipedia.org/wiki/%C3%89diteur_hexad%C3%A9cimalpropose une liste de produits)

Le secteur 0 que nous venons de réécrire (par initialisation) ressemble désormais à cela :

Avec DskProbe, nous pouvons faire paraitre la table de partition de ce secteur.

Les valeurs de début et fin de Head (=Side), Secteur et Cylindre dépendent de l’architecture, mais sont souvent les mêmes et voici celle qui convient de mettre pour la première partition de notre disque.

(Si vous avez plusieurs disques identiques sur votre ordinateur, ou un autre ordinateur avec le même disque qui n’a pas eu de soucis, vous pouvez récupérer les mêmes données)

Note : Il faut ajouter un secteur au Total Sectors du MBR par rapport au Total Sectors du NTFS Boot Sector puisqu’à cet endroit il faut compter les deux NTFS Boot Sector qui encadrent la partition, alors que dans le NTFS Boot Sector, on ne compte pas le dernier.

En récrivant « 07 » à l’offset du FileSystem de la première entrée de la table de partition.

Un rescan disk dans le Disk Manager nous fait reparaitre la partition comme par miracle:

On peut faire reparaitre les deux autres partitions en remplissant mes Start/End Side/Sector/Cylinder comme suit, et en adaptant les Relative et Total Sectors aux données relevées et en plaçant le type de système à NTFS (07) aux offset 01C2, 01D2, 01E2, 01F2 correspondant aux partitions respectives.

Si une des partitions par en chdksk, pas de chances : Soit vous vous êtes trompés dans vos calculs, soit la MFT avait besoin d’une réparation avant vos opérations.

Comme expliqué au premier article, toutes ces opérations sont des opérations de dernier recours, et ne garantissent aucunement la récupération de vos données.

Dans la prochaine série, nous nous intéressons aux disques GPT.

Serge Gourraud
55 AA

Pour faire reparaitre une partition disparue, nous avons besoin de peu de chose pour faire cette recuperation:

• Le NTFS Boot Sector de backup
• Savoir retrouver la MFT pour être certain de récupérer la bonne partition

Nous allons voir comment récupérer une partition qui a disparu suite à une opération manuelle malencontreuse.

Windows étant un petit paresseux, nous savons que quand on supprime une partition, seule l’entrée dans la table de partition est supprimée.

Vérification: 

Dans les architectures récentes, les partitions NTFS commencent le plus souvent au secteur 2048 (les anciennes démarraient au secteur 63).

Si ce n’est pas le cas, il faut chercher sur le disque. Certains éditeurs hexa permettent de le faire, dskprobe le permet.

Dans notre cas, le secteur 2048 est bien un secteur d’amorçage NTFS :

Nous pouvons identifier facilement :

• Le OEM ID String "NTFS"
• Bytes par secteurs : 512
• Secteurs par cluster : 8
• Partition Size en secteurs : FF E7 DF 0F 00 00 00 00 --> FDFE7FF = 266332159 secteurs (à peu près 127 GB : 266332159*512/1024/1024/1024)

Donc le NTFS Boot Sector de backup devrait se trouver au secteur 266334207 ( = 2048 + 266332159 )

Allons voir :

Vérifions que nous retrouvons bien la MFT

• Clusters to MFT : 00 00 0C 00 00 00 00 00 = 0xC0000 = 786432 clusters = 6291456 secteurs. En ajoutant 2048 ça fait:  6293504
• Clusters to MFTMirr : 02 00 00 00 00 00 00 00 = 0x2 = 2 clusters = 16 secteurs. En ajoutant 2048 ça fait:  2064

Le secteur 6293504 ressemble bien au premier metafichier de la MFT

Le metafichier $Volume nous fournit bien le bon nom de volume (à vérifier avec l’administrateur)

Donc en résumer, même si la partition a été supprimée, les données sont toujours présentes :

• La partition est encadrée par les NTFS Boot Sector de début et de fin
• Le NTFS Boot Sector pointe vers une MFT qui semble valide

Ce qui reste à faire est donc la chose suivante :

1. Enregistrer le contenu du secteur 2048 avec l’outil de votre choix (dskprobe permet de le faire)
2. Recréer une nouvelle partition dans le gestionnaire de disque ou diskpart : Ne pas la formater.

1. Si on formate la partition, on réécrit la MFT et toute les références au contenu de la partition. Gardons en tête que Windows est un petit paresseux : La MFT sera refaite, mais les données sur le disque seront toujours présentes jusqu’à ce qu’elles soient écrasées. Certains outils pourront encore vous aider mais il faudra y mettre le prix.
2. En créant cette nouvelle partition
   1. Une nouvelle entrée est créée dans la table de partition
   2. Le secteur 2048 a été vidé

• La dernière opération consiste en réécrire le secteur sauvegardé sur le 2048 et replacer le FileSystem à l’offset 01C2 : écrire 07

Un rescan devrait faire reparaitre le disque.

Ces étapes en image :

1. Sauvegarde du contenu du secteur 2048 avec dskprobe2.exe

2. Création de la partition sans la formater

Suivant … Suivant … Jusqu’à l’option de formatage : Choisir l’option "Do not format this volume"

Nous obtenons une partition RAW :

3. Ecraser le NTFS Boot sector par celui sauvegarder

Dans DskProbe se placer sur le secteur 2048 du disque, et ouvrir le fichier que nous venons de sauvegarder

Ecrire le fichier sur le secteur 2048

Vérifier qu’on écrit bien 1 secteur sur le secteur 2048 et cliquer sur "Write"

Retourner au secteur 0 et remplacer le "06" à l’offset 1C2 par "07" : bien presser la touche 0 et la touche 7.

Puis faire un Write

Un Rescan Disk dans le Disk Manager fait reparaitre le disque

Serge Gourraud
55 AA

Pour pouvoir récupérer une partition NTFS, il faut savoir l'identifier. Une partition NTFS contient essentiellement:

• Un secteur d'amorçage NTFS (NTFS BootSector) en début de partition
• Une MFT (la database de NTFS)
• Une copie alternative des 3 premiers enregistrements de cette MFT
• Un secteur de backup du NTFS Boot Sector en fin de partition

Pour une description complète de chacun des champs : http://technet.microsoft.com/fr-fr/library/cc781134(WS.10).aspx

Pour rappel, la table de partition 0 nous montrait une partition démarrant au secteur 2048 et occupant 122972160 :

Examinons en détails le NTFS Boot Sector

Si on dresse un tableau de ces données on obtient ça:

*La table de partition présente au secteur 0 nous avait indiqué une partition occupant 122972160 secteurs. Ca fait un secteur de plus, car dans cette table, on compte le 1er secteur de la partition ainsi que le dernier. Dans le secteur d’amorçage NTFS on compte un secteur de moins. Il faudra s’en rappeler quand nous ferons des réparations.

**La taille de chaque enregistrement. NTFS fera un enregistrement pour chaque fichier et répertoire de son volume. Ceux dont la taille est inférieur à la taille d’un enregistrement sont résident dans la MFT. Si ce nombre est positif (entre 00 et 7F) alors il represente le nombre de cluster par enregistrement. Si le nombre est négatif (de 80 à FF), alors la taille d’un enregistrement est 2 à la puissance la valeur absolue de la valeur de ce champ.

• Dans notre exemple, nous pouvons lire la valeur 0xF6. C’est une valeur négative, et sa valeur absolue est 0x0A (10 en décimal). Donc la taille d’un enregistrement sera de 2^10 = 1024 Bytes (1K)
• Si nous avions formaté la partition avec le paramètre /L, nous aurions lu la valeur 0x01 dans le champ clusters per MFT Record. Dans ces condition, la taille d’un record aurait été 1 cluster. Comme 1 cluster occupe 8 secteurs, ça nous aurait donné 4K par enregistrement (ce qui est bien le but du paramètre /L)

Clusters to MFT est de 786432, et nous avons 8 secteurs par cluster. Donc, la MFT est localisée au secteur 6293504 ( = 2048 + 786432 * 8 )

Nous pouvons voir à cet emplacement, le premier fichier de la MFT : $MFT

Sachant que chaque enregistrement occupe 1K, il est possible de parcourir tous les enregistrements de la MFT jusqu’à, par exemple, l’enregistrement $Volume qui fournit le nom du volume. Puisqu’il s’agit du 4ième, nous le trouverons au secteur 6293510.

Si nous ne trouvons rien de ce genre à cet emplacement, c’est que soit la donnée a été écrasée, soit qu’on n’est pas au bon endroit : Le secteur d’amorçage n’est peut-être pas le bon, ou contient de mauvaises informations

Dans l’article suivant nous récupérons une partition.

Serge Gourraud

55 AA

Recupération de partitions III : Structures des disques basiques MBR - Les partitions étendues

Dans l’article précédent, nous avons vu un exemple de partitionnement contenant une et plusieurs partitions primaires. Afin de pouvoir mettre plus de quatre partitions sur un disque, il existe un système de partition étendue. En quelques mots :

-        Si vous souhaitez 1 à 4 partitions : Vous aurez 4 partitions primaires

-        Si vous souhaitez 5 partitions ou plus : Vous aurez 3 partitions primaires et 1 partition étendue contenant autant de volumes que souhaité.

Si on observe la table de partition à l’éditeur hexa, on sait qu’il n’y a la place que pour 4 entrées et on voit bien que les 4 entrées sont occupées.

La dernière entrée a ceci de particulier qu’elle est de type 0x0F (partition étendue), et qu’elle occupe 30722048 secteurs (ce qui nous donnerait à peu près 14 GB pour des secteurs de 512 Bytes)

Donc, si nous refaisons notre petit tableau récapitulatif:

Avant d’aller plus loin regardons à quoi ressemble le premier secteur d’une partition NTFS. La première partition (PPart01) est sensé démarrer au secteur 2048, et voici le secteur 2048 :

Nous détaillerons le contenu de ce secteur dans la partie 4, mais pour l’instant nous avons juste besoin de savoir que ce secteur est signé "55 AA" et qu’il contient bien le OEM ID "NTFS".

Regardons maintenant ce qui se trouve au secteur 235614208 (entrée de la 4ième partition). Il est quasiment vide, mais nous pouvons y reconnaitre une nouvelle table de partition dans la partie inférieure.

Cette table de partition contient deux entrées:

En passant tout ça à la moulinette, on peut construire ce petit tableau:

Quand on parcours une partition étendue, le Relative Sector ne fait pas référence au début du disque, mais au début de la partition étendue.

Comme notre partition étendue démarre au secteur 235614208, le premier volume NTFS devrait se trouver au secteur 235616256 ( = 235614208 + 2048 )

Cela reseemble bien à un secteur NTFS:

Maintenant, regardons ce qui se trouve à la seconde entrée de la table de partition. Son Relative Sector est 10242048 et la partition étendue démarrait au secteur 235614208. Donc l’entrée doit nous faire pointer vers le secteur 245856256 ( = 235614208 + 10242048 ). Allons voir :

C'est une nouvelle table de partition contenant ces informations:

La partition NTFS suivante démarre au secteur 245858304 ( = 245856256 + 2048 ) et la prochaine table de partition au secteur 252000256 ( = 235614208 + 16386048 )

Comme nous n’avons que 3 volumes dans la partition étendue, ce table de partition devrait être la dernière qui pointe vers une partition NTFS et nous n’avons qu’une seule entrée puisque nous n’avons pas d’autres volumes à déclarer.

Voilà comment Windows s’y prend pour faire entrer plusieurs partitions dans des tables qui ne peuvent en contenir que 4.

Dans l’article suivant, nous allons détailler le contenu d’un secteur d’amorçage NTFS afin de pouvoir commencer les réparations.

Serge Gourraud

55 AA

Dans l'article précédent, nous avons vu comment sont structurés les partitions et volumes sur les disques. Nous allons voir cela da façon concrète sur un disque MBR Basique.

Pour cela, j'utilise un éditeur hexadécimal et ouvre le disque aux secteurs qui m'interressent. L'éditeur que j'utilise s'apelle dskprobe.exe (un outil Microsoft assez basique qui affiche les secteurs par pages de 512 Bytes) mais vous pouvez utiliser celui qui vous convient le mieux. Une liste est disponible sur http://fr.wikipedia.org/wiki/%C3%89diteur_hexad%C3%A9cimal

Ouvrons le secteur 0 d'un disque MBR Basique.

En rouge:

• La signature du disque de l'offset 0x01B8 à l'offset 0x01BB : 26 A8 75 C2.
  • Il faut lire cette information en little endian : C275A826
• Une sorte de signature du secteur : 55 AA
  • Vous la trouverez sur pas mal de secteurs importants du disque. Elle est indispensable.

En surligné : La table de partition, contenant 4 entrée.

• La 1ère entrée commence à l'offset 0x1BE et termine à l'offset 0x1CD : Elle contient les coordonnées d'une partition
• La 2ième entrée commence à l'offset 0x1CE et termine à l'offset 0x1DD : Celle-ci est vide
• La 3ème entrée commence à l'offset 0x1DE et termine à l'offset 0x1ED : Celle-ci est vide
• La 4ème entrée commence à l'offset 0x1EE et termine à l'offset 0x1FD : Celle-ci est vide

La partie au dessus est du code.

Focalisons-nous sur la première entrée de la table de partition, et essayons de lui faire correspondre la description disponible sur http://technet.microsoft.com/en-us/library/cc739412(v=ws.10).aspx

Ca veut dire que ce disque contient une partition NTFS qui démarre au secteur 2048 et occupe 266332160 secteurs.

Nous ne savons pas encore exactement quelle taille cela fait en Bytes, mais la plupart du temps, 1 secteur occupe 512 bytes. Ce qui nous fait (si on a des secteurs de 512 bytes)

• 266332160 * 512 = 136362065920 bytes
• 136362065920 / 1024 / 1024 / 1024 = 126.9971 GBytes

Considérons maintenant quelque chose d'un peu plus fréquent: Un disque contenant plusieurs partitions.

Notre table de partition au secteur 0 pourrait bien ressembler à cela:

Ce qui nous donne ce petit tableau récapitulatif:

* *Toujours en suivant la petite moulinette de ne garder que 6 bits sur le 1er champ, et d'ajouter les 2 restants aux 8 d champs suivant

*A lire en little endian

Dans l’article suivant, nous détaillerons un disque contenant des partitions étendues.

Serge Gourraud

55 AA

Dans les articles qui suivent, nous évoquerons ces termes à maintes reprises. Autant se familiariser tout de suite avec ces termes :

• LBA = Logical Block Address : Le numéro du secteur. En général, un secteur fait 512 bytes ou 4 KBytes
  • http://support.microsoft.com/default.aspx?scid=kb;en-US;2510009
• LDM = Logical Disk Manager
• MFT = Master File Table. La database du système de fichiers NTFS.
  • http://msdn.microsoft.com/en-us/library/windows/desktop/aa365230(v=vs.85).aspx
• MBR = Master Boot Recor
  • Le secteur le plus important du disque : Le secteur (LBA) 0
  • http://technet.microsoft.com/en-us/library/cc976786.aspx
• PBS = Partition Boot Sector : Le premier secteur d'une partition.
• BPB : BIOS Parameter Block : Une partie du PBS
• GPT = GUID Partition Table.

L'objectif de ces articles est de parcourir les secteurs importants des disques pour comprendre où pourrait se placer une corruption et de la réparer (quand c'est possible) juste en écrivant la bonne information au bon endroit. Toutes les structures que nous allons parcourir sont déjà décrites dans MSDN.

Aussi, si vous souhaitez avoir plutôt une approche développeur, un bon point de départ serait d'invoquer un DeviceIoControl en utilisant le control code IOCTL_DISK_GET_DRIVE_LAYOUT_EX (cf. http://msdn.microsoft.com/fr-fr/library/windows/desktop/aa365174(v=vs.85).aspxpour plus de détails)

Ce contrôle vous fournira une structure de type DRIVE_LAYOUT_INFORMATION_EX

typedef struct _DRIVE_LAYOUT_INFORMATION_EX {

DWORD PartitionStyle;

DWORD PartitionCount;

union {

DRIVE_LAYOUT_INFORMATION_MBR Mbr;

DRIVE_LAYOUT_INFORMATION_GPT Gpt;

};

PARTITION_INFORMATION_EX PartitionEntry[1];

} DRIVE_LAYOUT_INFORMATION_EX, *PDRIVE_LAYOUT_INFORMATION_EX;

Nous n'évoquerons pas d'avantage cette approche dans cette série, mais cela pourrait faire le sujet d'une autre série si la demande est forte.

Comme expliqué, la MSDn regorge de schémas explicatifs mais essayons de les présenter différemment afin d'afficher plutôt une comparaison de ces structures, si cela peut aider.

Comparaison MBR et GPT

Différences principales (liste non exhaustive) dans les fonctionnalités:

Quelques références:

• FAQ sur les GPT : http://msdn.microsoft.com/en-us/windows/hardware/gg463525
• Pour le fun et pour les amateurs des grandes tailles: Kilo, Mega, Giga, Téra, Péta, Exa, Zetta et Yotta : http://fr.wikipedia.org/wiki/Octet

Comparaisons des structures identifiables, écrites à plat sur les disques basiques

Pour avoir une vision complète des disques basiques, aller sur http://technet.microsoft.com/en-us/library/cc739412(v=ws.10).aspx

Comparaisons des structures identifiables, écrites à plat sur les disques dynamiques

Pour avoir une vision complète des disques dynamiques, aller sur http://technet.microsoft.com/fr-fr/library/cc758035(v=WS.10).aspx

Comparaisons des disques basique et dynamiques

Différences principales (liste non exhaustive) en terme de fonctionnalités

* Le nombre de volumes que peut supporter un disque dynamique n'est pas illimité car la database est limitée à 1 MB. Sachant que chaque disque dynamique attaché à un système contient la descroption de tous les volumes de ce système, rajouter des disques n'augmentera pas cette limite. Au contraire, il faudra rajouter des enregistrement pour en plus pour décrire le nouveau disque.

**Il est possible d'étendre un volume sur plusieurs disques dynamique, mais sur des disques basiques, on ne peut rester que sur le même disque.

Les différents types de volumes sont décrit sur : http://technet.microsoft.com/fr-fr/library/cc737048(v=WS.10).aspx

Dans le post suivant, nous allons tenter de voir concrètement comment cela se traduit en donnée brute écrite sur les disques.

Serge Gourraud

55 AA

Il arrive que les structures qui décrivent les partitions sur les disques soient perdues ou corrompues. Heureusement cela arrive assez rarement, mais quand c’est le cas, nous nous retrouvons en face d’un disque qui n’a plus du tout de partitions, ou des partitions affichées en RAW et on peut légitimement être inquiet, voire craindre d’avoir tout perdu. Comme ces données sont souvent cruciales, l’administrateur aura dans le meilleur des cas un backup (bien évident, puisque ces données sont cruciales) mais le temps de restauration de ce backup peut prendre plusieurs heures voire plusieurs journées. Dans le pire des cas, l’administrateur n’aura pas de backup (les données ne devaient pas être suffisamment importante).

Tant que (ou les) partitions sont absentes ou marquées comme RAW, la source du problème peut se trouver dans des erreurs au niveau des structures qui décrivent les partitions, et sous certaines conditions, il est possible de reconstruire ces structures et de faire reparaitre ces partitions dans Windows.

Le but des articles qui suivent est de décrire ces structures, les retrouver sur le disque, d’identifier les corruptions potentielles et de les corriger si possible.

La récupération d’une MFT corrompu ne fait pas l’objet de ces articles, et pour cela, nous ne pouvons que recommander l’utilisation de chkdsk.exe

Nous allons travailler sur les disques Basiques (MBR et GPT) et Dynamique (MBR et GPT) en suivant cet agenda:

• Partie 1 : Definitions & Etude comparative des structures
• Partie 2 : Structures des disques Basiques MBR : Configuration simples et les plus fréquentes
• Partie 3 : Structures des disques Basiques MBR : Configuration avec partition étendue
• Partie 4 : Identification d’une partition NTFS
• Partie 5 : Récupérer une partition Primaire NTFS sur disque MBR Basic : Exercice pratique
• Partie 6 : Aller plus loin dans l’identification des structures
• Partie 7 : Structures des disques GPT Basic
• Partie 8 : Identifier et corriger des structures GPT corrompues
• Partie 9 : Récupérer une partition supprimée par mégarde sur un disque basique GPT
• Partie 10 : Disques MBR Dynamiques
• Partie 11 : Disques GPT Dynamiques

Serge Gourraud

55 AA