19 Novembre 2017 à 00:02:02

Auteur Sujet: suppression de la MFT après formatage?  (Lu 1545 fois)

hor92

  • Nouveau membre
  • *
  • Messages: 1
  • Points gagnés: 0
    • Voir le profil
suppression de la MFT après formatage?
« le: 17 Mars 2012 à 18:57:30 »
Bonjour à tous, je cherche à savoir ce que fait le formatage  windows 7  en mode standard.
A priori il supprime la MFT et en crée une toute neuve puis efface les données sur les clusters.
 
Ayant commencé par erreur un formatage de mon disque dur extrene (1TB) j'ai stoppé le processus au bout de quelques secondes mais je me retrouve avec un DD non lisible "voulez vous formater ce disque dur?".
 
Je me pose la question suivante ; les logiciels de récupérations (get back data, phoenix, ...) peuvent-ils reconstituer une MFT supprimée? et si oui comment?? (j'imagine que des copies de la MFT existent sur le disque.... a tout le moins la MFT miror.. mais n'est-elle pas elle aussi supprimée lors de la création d'une nouvelle MFT vierge?) bref je me demande si ces logiciels sont vraiment utiles si l'on souhaite récupérer les noms de fichers et leur hiérarchie/arborescence dans windows (qui a plus de valeur que le fichier lui meme quand une grande quantité de données sont stockées).
 
Apparemment getbackdata fait une analyse cluster par cluster et donc permet de reconstituer au fil de l'eau la MFT (car les morceaux de fichiers sont identifiés dans les clusters, ainsi que leur hiérarchie d'accès -répertoires - ainsi que leur nom et que les répertoires windows sont eux-aussi considérés comme des fichiers).
 
Qu'en pensez-vous? faut-il vraiment acheter ces logiciels ou faut-il s'adresser à une société spécialisée? et dans ce cas est-ce que la société spécialisée ne fait finalement que dérouler ces logiciels sans faire d'autres manipulations?

Je n'arrive pas à trouver la liste des opérations séquentielles effectuées par windows lors du démarrage de l'opération de formatage standard.... est-ce que la MFT est supprimée sur tout le disque ou seulement la partie relative à l'adressage des fichiers sans que pour autant les pointeurs liés à la structure des répertoires/sous-répertoires soient effacés au niveau des clusters?...
 
bref je trouve que windows est vraiment légé sur le processus... 
 
Les vendeurs de logiciels de récupération vous laissent comprendre que tout est récupérable, y compris l'arborescence (qui m'est chère... car cela a représenté bcp de travail de tri...). Mais je pense que c'est le cas seulement si la MFT a été endommagée et qu'on la reconstitue partiellement au moyen notamment de la 'MFT miror'... si elle a été supprimée c'est beaucoup plus long et plus aléatoire non??
 
En fait il faudrait classer les logiciels selon le niveau de profondeur qu'ils atteignent pour reconstituer la MFT.
Selon ce que j'ai vu les plus puissants en la matière sont : 
stellar phoenix 
getbackdata
testdisk
 
Seulement même si vous achetez ces logiciels, la source des algorithmes utilisés n'est pas visible.....

---------------
ref 
http://deptinfo.cnam.fr/Enseigneme [...] #Heading11
 
----------------
11.3. Le système NTFS
Ce système a été créé par Microsoft pour être le système de gestion de fichier de Windows NT. Plusieurs systèmes existaient initialement, comme VFAT ou HPFS de OS/2, mais aucun ne satisfaisait aux critères de fiabilité et de taille d'un système moderne.
 
En dehors du premier secteur de la partition, qui contient un ensemble minimal d'informations comme la localisation du fichier MFT dont il est question ci-dessous, ce SGF considère que "tout est fichier". Le formatage d'une partition en volume NTFS consiste donc à créer un certain nombre de fichiers qui donnent la structure du volume. Nous ne décrirons que certains de ces fichiers.
 
Le fichier des descripteurs de fichiers, appelé la Master File Table (MFT), qui commence par son propre descripteur. Il peut commencer n'importe où dans la partition, il est nécessaire de connaître cet endroit a priori, pour pouvoir accéder à son descripteur, ce qui est indiqué dans le premier secteur de la partition. Notons que ce fichier est doublé pour des raisons de sécurité, la copie étant aussi repérée par le secteur 0 de la partition.
Le fichier du volume, contenant en particulier le nom du volume. 
Le fichier bitmap décrivant l'état d'allocation du volume.
Le répertoire racine du volume.
Le fichier journal qui a pour but de garantir la fiabilité de la structure.
 
11.3.1. Les descripteurs de fichiers 
Chaque objet externe reçoit, à sa création, un numéro qui est l'indice dans la MFT où est situé son descripteur. La taille de ces descripteurs est fixée à la création du volume et est comprise entre 1 Ko et 4 Ko, ce qui est donc relativement important. Un objet externe, fichier ou répertoire, est constitué d'un certain nombre d'attributs qui peuvent être résidents, c'est-à-dire, rangés dans le descripteur de l'objet externe lui-même, ou non résident et donc à l'extérieur de la MFT dans un espace qui lui est alloué en propre. Voici quelques exemples d'attributs :
 
Le nom de l'objet externe sous forme d'une suite de au plus 255 caractères Unicode.
Les informations de base habituelles, comme les dates de création, modification ou d'accès. 
Les informations de protections de l'objet.
Le ou les contenus des fichiers ou répertoires.
Un même objet externe peut avoir plusieurs attributs "nom", correspondant au principe des liens physiques énoncés au §9.4.3.
 
Si un fichier est suffisamment petit, tous ses attributs, et donc son contenu se trouvera dans le descripteur. Dans les autres cas, certains attributs (en particulier les données) seront non résidents.
 
NTFS utilise le principe de l'allocation par zone pour les attributs non résidents d'un objet externe , et la valeur de l'attribut est remplacée dans le descripteur par la suite des descriptions des zones allouées. Le nombre de zones est quelconque, chacune étant de taille quelconque (cf. 8.2.3). La taille du quantum est un nombre entier de secteurs, ce nombre étant une puissance de 2. Le terme de cluster désigne les unités d'allocation. Les clusters sont numérotés sur 64 bits, ce qui implique qu'il n'y a pratiquement pas de limite aux nombres de clusters d'un volume. Comme un descripteur de zone doit localiser le premier cluster de la zone et son nombre de clusters, soit 16 octets, une technique de compression est utilisée, d'une part en prenant son déplacement par rapport au premier cluster de la zone précédente, et en supprimant les octets nuls en tête de ces deux valeurs.
 
La longueur d'un attribut non résident est mémorisée sur 64 bits, ce qui permet donc des fichiers dont la taille n'est pratiquement limitée que par l'espace disponible sur le volume. 
 
Notons que le contenu d'un fichier est un attribut sans nom, mais l'utilisateur peut créer des attributs nommés qui peuvent avoir des contenus séparés dans des espaces distincts. L'implantation de serveur de fichier MacIntosh sur Windows NT utilise ce principe pour séparer la partie ressource et la partie donnée (voir HFS).
 
11.3.2. Les Répertoires 
NTFS utilise une arborescence de répertoire. Le contenu d'un répertoire est organisé en arbre B+, qui se rapprochent des arbres B* vus plus haut, si ce n'est que les données associées aux clés sont réparties dans tous les nœuds au lieu de n'être que dans les feuilles comme sur la figure 11.1. Les entrées d'un répertoire contiennent les informations suivantes, la première étant la clé:
 
Le nom de l'objet,
Le numéro de l'objet dans la MFT, permettant de localiser son descripteur.
Les dates de création, modification ou d'accès de l'objet,
La taille de l'objet
Le numéro du répertoire parent qui le contient dans la MFT.
 
En fait seuls les deux premiers sont effectivement nécessaires, puisque les trois derniers se trouvent dans le descripteur de l'objet. Cette duplication a un avantage et un inconvénient. L'avantage est que l'on a accès aux informations essentielles de l'objet sans devoir accéder au descripteur. L'inconvénient est inhérent à la duplication: toute modification de ces informations doit être portée à plusieurs endroits sur le disque, sous peine d'avoir des données incohérentes. Notons qu'il peut paraître surprenant de trouver dans cette entrée le numéro du répertoire qui contient l'entrée! En fait, Toutes ces informations, avec la clé, font partie l'attribut "nom de fichier", présent dans le descripteur du fichier, et en sont une copie. Or, le numéro du répertoire parent d'un fichier permet de remonter l'arborescence des fichiers et répertoires, en retrouvant ainsi le parent de chaque répertoire.Le principe des arbres B implique que des nœuds soient créés ou supprimés au fur et à mesure des adjonctions ou suppressions. La suppression d'un nœud peut ne pas être le dernier nœud physique du répertoire, et il faut prévoir sa réutilisation ultérieure. Ceci se fait en définissant un attribut "bitmap" pour chaque répertoire qui indique quels sont les nœuds libres. S'il n'y en a plus, une allocation d'une nouvelle zone est effectuée, et la table bitmap est mise à jour pour tenir compte des nœuds libres ajoutés.
----------------
 
-> on voit donc bien qu'il y a duplication de l'information concernant la structure des répertoires : une première information stockée dans la MFT pour le descripteur du fichier permettant de déterminer la fragmentation de celui-ci et identifier les blocs sur lesquels le fichier est stocké; une deuxième information qui est stockée dans les entrées de répertoire (stocké dans le fichier décrivant le répertoire) et qui contient : 
 
Le nom de l'objet,
Le numéro de l'objet dans la MFT, permettant de localiser son descripteur.
Les dates de création, modification ou d'accès de l'objet,
La taille de l'objet
Le numéro du répertoire parent qui le contient dans la MFT.
 
Donc à mon sens, si l'on peut identifier ces "fichiers" répertoire dans les clusters (en faisant une analyse cluster par cluster, ces fichiers "répertoire" étant identifiés dans un arbre B* specifique), on peutt remonter l'ensemble de l'arborescence!!!
 
A condition bien sûr que ces informations n'aient pas été effacées au cours du formatage. Or, si le formatage consiste simplement à effacer les pointeurs - description des fichiers dans la table MFT, sans aller jusqu'à effacer les données dans les blocs correspondant à ces fichiers, il reste donc une trace pour reconstituer toute l'arborescence.
 
C'est pour cela qu'il ne faut absolument pas faire d'opération d'écriture post formatage, car alors les blocs sur lesquels ces informations vitales ont été stockées ont été libérés pour stocker de nouvelles données de fichier, via une MFT toute neuve.
 
Est-ce que pour vous tout cela a du sens?