La corruption du MBR peut survenir pour diverses raisons, telles qu’une infection par un logiciel malveillant ou un virus, des erreurs de disque, des pannes de courant ou des arrêts intempestifs, des configurations à double démarrage, la corruption de fichiers de démarrage critiques et la modification du MBR à l’aide d’outils tiers. La corruption du MBR peut potentiellement entraîner une perte de données, mais n’entraîne généralement pas leur suppression.
Elle peut plutôt rendre les données inaccessibles en empêchant le système d’exploitation de démarrer correctement, ce qui peut être très pénible. Microsoft propose l’outil en ligne de commande « bootrec » pour réparer les corruptions du MBR. Cette étude vous permettra d’explorer techniquement le fonctionnement de « bootrec » à différents niveaux de corruption du MBR.
Savoir ce qu’est le MBR
MBR signifie Master Boot Record (enregistrement de démarrage principal), une structure de données essentielle utilisée dans le stockage informatique pour gérer le processus de démarrage du système d’exploitation. Le MBR est situé dans le premier secteur d’un périphérique de stockage, tel qu’un disque dur ou un SSD, et contient les informations et le code essentiels au démarrage du système.
Importance du MBR
- Lancement du processus de démarrage : Le MBR contient le code de démarrage principal, un petit programme qui lance le processus de démarrage. Au démarrage de l’ordinateur, le micrologiciel BIOS (ou UEFI) localise le MBR sur le périphérique de stockage et exécute le code qui y est stocké. Ce code charge à son tour le chargeur de démarrage du système d’exploitation. Sans un secteur de démarrage principal (MBR) fonctionnel, l’ordinateur ne pourrait pas démarrer.
- Sélection du système d’exploitation : Si plusieurs systèmes d’exploitation sont installés sur l’ordinateur (par exemple, Windows et Linux), le MBR peut être configuré pour choisir celui à démarrer. Cette opération s’effectue via le chargeur de démarrage, chargé par le MBR.
- Gestion des partitions : Le MBR contient la table des partitions, qui fournit des informations sur la disposition et la structure des partitions du périphérique de stockage. Elle spécifie l’emplacement, la taille et le type de chaque partition. Ces informations sont essentielles pour que le système d’exploitation puisse accéder aux données stockées dans les différentes partitions et les gérer.
Structure du MBR
Le secteur initial d’un disque dur, le secteur 0, est appelé MBR (Master Boot Record). Au démarrage de l’ordinateur, la première série d’instructions exécutées provient du BIOS (Basic Input Output System). Ensuite, le contrôle est transféré au secteur MBR, que le BIOS charge en mémoire. Le code du MBR est chargé d’analyser et de vérifier les partitions avant de transférer le contrôle au code du chargeur de démarrage.
Le Master Boot Record (MBR) a une structure simple composée de trois composants principaux :
- Code de démarrage principal (code d’amorçage)
- Table de partition
- Signature de démarrage
Code de démarrage principal (code d’amorçage) :
Le code de démarrage principal correspond aux 446 premiers octets du MBR et contient des instructions en langage assembleur. Il est responsable du processus d’amorçage initial et de la recherche de la partition active. Il localise et charge le chargeur de démarrage depuis la partition active. Le code spécifique du code de démarrage principal peut varier selon le système d’exploitation ou le gestionnaire de démarrage utilisé.
Table des partitions :
La table des partitions se trouve dans les 64 octets suivants du MBR, après le code de démarrage principal. Elle est divisée en quatre entrées de 16 octets chacune. Ces entrées décrivent les caractéristiques des partitions individuelles du périphérique de stockage.
Chaque entrée contient des informations telles que les valeurs CHS (Cylinder-Head-Sector) de début et de fin, le type de partition et le secteur de départ de la partition au format LBA (Logical Block Addressing). La table des partitions peut prendre en charge jusqu’à quatre partitions principales ou trois partitions principales et une partition étendue. Une partition étendue peut contenir plusieurs partitions logiques.
3. Signature de démarrage :
Les deux derniers octets du MBR (octets 510 et 511) contiennent une valeur spéciale appelée signature de démarrage ou nombre magique. Cette valeur, définie sur 0x55AA (hexadécimal), sert de marqueur indiquant que le MBR est valide et amorçable. Lorsque le BIOS ou le micrologiciel UEFI lit le MBR, il recherche ce nombre magique pour confirmer la capacité de démarrage du périphérique de stockage. Si ce nombre magique est introuvable, le BIOS ou l’UEFI ne considère pas le périphérique comme amorçable.
Interprétation du tableau ci-dessus :
0x0 -0x1B7 -> Zone de code MBR (440 octets)
0x1B8-0x1BB -> Signature du disque 32 bits (4 octets optionnels)
0x1BC-0X1BD -> 0x0000 ou 0x5A5A (2 octets)
0x1BE-0x1FD -> Entrées de partition (64 octets)
0x1FE-0x1FF -> Signature MBR 0X55AA (2 octets)
Different types of MBR:
Il existe généralement trois types de MBR
- MBR standard : format MBR traditionnel utilisé sur la plupart des systèmes hérités. Sa prise en charge est limitée à quatre ou trois partitions principales ou une partition étendue.
- MBR étendu : Certains systèmes, notamment les plus anciens, utilisent un format MBR étendu permettant de définir plus de quatre partitions. Ce format permet de créer une partition étendue pouvant contenir plusieurs partitions logiques. Il s’agit d’une solution de contournement à la limite de quatre partitions du MBR standard.
- MBR protecteur : les disques GPT (table de partition GUID), un schéma de partitionnement plus moderne, utilisent un MBR protecteur pour assurer la compatibilité avec les systèmes plus anciens qui ne prennent pas en charge GPT. Le MBR contient une partition protectrice unique couvrant l’intégralité du disque et empêchant les systèmes plus anciens d’interpréter la table de partition GPT de manière erronée.
Performances des outils de ligne de commande « bootrec » sur différentes corruptions :
1. Corruption MBR code de Démarrage Principal :
Sur les 512 octets du MBR, les 446 premiers octets correspondent au code de démarrage principal, qui contient des instructions en code machine écrites en langage assembleur. Corrompons-le partiellement et observons le fonctionnement de l’outil en ligne de commande « bootrec ».
L’image ci-dessus montre le MBR sain du disque dur ; nous avons corrompu 0x80 octets dans le code de démarrage principal du décalage 0x00 au décalage 0x80, ce qui est indiqué dans l’image ci-dessous.
Lorsque le code de démarrage principal est corrompu, au démarrage, le système affichera le message « Redémarrez et sélectionnez le périphérique de démarrage approprié ou insérez le support de démarrage dans le périphérique de démarrage sélectionné et appuyez sur une touche ».
Exécutons maintenant la commande « bootrec ». Pour ce faire, nous devons démarrer le PC avec le CD/DVD d’installation de Windows ou une clé USB de récupération. Sélectionnez l’option,Invite de commentaires,sous,Dépannage,dans,Réparer votre ordinateur,.
Saisissez la commande « Bootrec/fixmbr » dans l’invite de commande, puis appuyez sur Entrée. Une fois la réparation terminée, le message « Opération terminée avec succès » s’affiche et, au redémarrage, le système d’exploitation se charge sans problème. La commande »Bootrec/fixmbr « a résolu le problème de corruption partielle du code de démarrage principal.
Lecture intéressante : Comment récupérer des données perdues après une conversion GPT en MBR
2. Corruption de la signature de démarrage du MBR :
Les deux derniers octets du MBR (octets 510 et 511) contiennent la signature de démarrage. Corrompons maintenant cette signature et exécutons « Bootrec/fixmbr ».
L’image ci-dessus montre la signature de démarrage corrompue en changeant les octets 510 et 511 en 00.
Au démarrage, le PC affichera le message « Redémarrez et sélectionnez le périphérique de démarrage approprié ou insérez le support de démarrage dans le périphérique de démarrage sélectionné et appuyez sur une touche » lorsque la signature de démarrage est corrompue.
Nous avons exécuté la commande « Bootrec/fixmbr » dans l’invite de commande ouverte à partir du CD/DVD d’installation de Windows et le message » L’opération s’est terminée avec succès » s’est affiché. Le redémarrage de la machine a permis de charger le système d’exploitation sans problème.
3. Corruption de la table de partition du MBR :
Corrompons maintenant la table de partition, qui fait 64 octets et se situe entre le décalage 0x1BE et 0x1FD ; ci-dessous se trouve l’image avec la table de partition corrompue.
Au démarrage, le PC affiche le message « Redémarrez et sélectionnez le périphérique de démarrage approprié ou insérez le support de démarrage dans le périphérique de démarrage sélectionné et appuyez sur une touche » après avoir corrompu la table de partition.
Nous avons commencé à réparer le PC à l’aide du CD/DVD d’installation de Windows. Après avoir sélectionné « Réparer votre ordinateur », puis » Invite de commandes » dans la section Dépannage, nous avons exécuté la commande « Bootrec/fixmbr ». La commande semblait fonctionner correctement, indiquant » L’opération s’est terminée avec succès « . Cependant, lorsque nous avons essayé de redémarrer le PC, un message d’erreur s’est affiché : » Redémarrez et sélectionnez le périphérique de démarrage approprié ou insérez le support de démarrage dans le périphérique de démarrage sélectionné et appuyez sur une touche. » Malheureusement, la commande » Bootrec/fixmbr » n’a pas résolu le problème de corruption dans ce cas.
Nous avons poursuivi nos efforts avec la commande » Bootrec/FixBoot « , mais le message » Élément introuvable » s’est avéré bloquant. Des commandes telles que » Bootrec/ScanOS » et » Bootrec/RebuildBcd » se sont avérées tout aussi vaines, indiquant » Nombre total d’installations Windows identifiées : 0 « . La menace d’une perte totale de données s’est intensifiée.
D’après mon expérience, les méthodes conventionnelles en ligne de commande sont souvent inefficaces dans de tels scénarios. Conscient de la gravité d’une table de partition corrompue, j’ai décidé de tester Remo Recover pour récupérer les données d’une table de partition corrompue.
Nous avons conçu Remo Recover pour détecter les données perdues en deux étapes clés : la collecte de données et la création d’une hiérarchie. Le processus de récupération commence par l’analyse du disque corrompu et utilise des techniques d’analyse de disque de bas niveau pour localiser les partitions existantes.
L’application identifie les numéros de secteur précis où chaque partition commence et se termine sur le disque. Ces informations sont cruciales pour définir précisément les limites de chaque partition. Il détermine le type de système de fichiers utilisé sur chaque partition, qui peut varier de FAT16, FAT32, exFAT à NTFS.
Reconnaître le type de système de fichiers correct est essentiel pour une récupération de données réussie. Remo Recover organise les données de partition collectées, y compris les fichiers et les dossiers, selon une hiérarchie structurée. Cette hiérarchie reproduit l’organisation familière de l’Explorateur Windows, facilitant ainsi la navigation et l’identification des données récupérées.
Réparer la corruption MBR avec Remo Recover a commencé à analyser le lecteur avec une corruption de la table de partition, voici ce que nous avons remarqué :
L’application a affiché les partitions perdues avec le système de fichiers et a ajouté dynamiquement les fichiers et dossiers au fur et à mesure de la récupération des entrées. Nous avons pu prévisualiser les fichiers récupérés pendant l’analyse, et ils étaient intacts.
Remo Recover a récupéré avec succès les données du disque avec la même hiérarchie de fichiers et de dossiers.
En résumé, l’outil de ligne de commande « bootrec » est une bonne option en cas de corruption mineure du MBR. En cas de corruption majeure de la table de partition du MBR, voire de corruption totale, il échoue. Remo Recover est conçu pour gérer les corruptions complexes du secteur de démarrage principal et récupérer l’intégralité des données dans la hiérarchie des dossiers de fichiers d’origine sans affecter le disque.
