Les systèmes de Gestion de Fichiers

Question 1

Quelle est la définition d’un système de gestion de fichier?

Answer 1

-Impossible d’écrire des données sans système de gestion de fichier.
Données sur un support = présence actuelle ou passée d’un SGF
-Le système de gestion des fichiers assure plusieurs fonctions :
-Manipulation des fichiers: Création/suppression/modification des fichiers.
Méthode d’enregistrement et d’organisation d’informations.
Tous types de mémoires de stockage (disque dur, CD-ROM, clé USB, SSD, disquette, etc.).
-Localisation des fichiers: Gestion des dossiers
Offre à l’utilisateur une vue abstraite sur ses données et permet de les localiser à partir d’un
chemin d’accès.
-Sécurité: Droits d’accès, quotas
-Compression ou chiffrement automatique des données,
-Contrôle des transactions de fichiers: Journalisation des écritures
(robustesse, en cas de défaillance du système).

Question 2

Qu’est ce que la table des matières?

Answer 2

-La table d’allocation des fichiers traduit un système de gestion des fichiers.
Cette table porte différents noms en fonction de l’O.S. et du système de gestion de
fichiers choisis :
-F.A.T. (File Allocation Table)
Partition Windows – système de fichier F.A.T.
-M.F.T. (Master File Table)
Partition Windows – système de fichier N.T.F.S.
-Table des inodes
Partition Linux ou Unix- système de fichier Ext ou UFS
-E.T.F. (Extend Tree File)
Partition Mac OS X – système de fichier HFS+

Question 3

Qu’est ce que le plan d’occupation des sols?

Answer 3

-Généralement sous forme de “bitmap”
-Référence les clusters occupés et disponibles
Peut contenir le chainage des clusters

Question 4

Quel est le principe de stockage des SGDF?

Answer 4

Différentes méthodes permettent d’associer un nom de fichier à son contenu.
1) FAT, ancien système de fichier de MS/DOS et de Windows encore largement
utilisé sur les supports amovibles comme les clés USB.
Chaque répertoire contient une table associant les noms de fichiers à leur
taille et un index pointant vers la Table d‘Allocation de Fichiers (FAT), une zone
réservée du disque indiquant pour chaque bloc de données l’adresse du bloc
suivant du même fichier.
Les informations concernant les fichiers et répertoires présents à la « racine »
du volume sont « stockées » dans une zone dédiée et fixe du volume.
Les sous-dossiers sont des « fichiers spéciaux » contenant les enregistrements
des fichiers et dossiers qu’ils contiennent.
2) Systèmes de fichier Unix (ou de Linux) (EXT2-3-4; HFS+)
Fichiers et répertoires identifiés par numéro unique, « numéro d’inode » .
Numéro permettant d’accéder à une structure de données regroupant les
informations du fichier à l’exception du nom (Droits d’accès, dates,
emplacement du contenu)
Nom : stocké dans le répertoire associé à un numéro d’inode.
3) NTFS : système complexe, fonctionnant un peu à la façon d’une base de
données.

Question 5

Quelle est la définition d’un nom de fichier?

Answer 5

Chaîne de caractères, souvent de taille limitée. Certains caractères
interdits « : » , « / » ou « \ » sous Windows. Sous unix, pas de restriction.
NTFS utilise le jeu de caractères UTF-16 pour les noms de fichiers.
Sous Windows, Nom.suffixe (extension).
Sous Unix/Linux, format du fichier détecté par le type MIME (en-tête des
fichiers).

Question 6

Quel est le principe des métadonnées en matière de SGDF?

Answer 6

Métadonnées
Description des fichiers par métadonnées (Unix/Linux : dans l’inode, NTFS
dans $mft). Le contenu du fichier est écrit dans un ou plusieurs blocs
(cluster) du support de stockage, selon la taille du fichier.
Métadonnées les plus courantes:
droits d’accès: Lecture, Ecriture, Exécution /utilisateur & groupes
dates: Création, Modification, Accès
propriétaire:
taille du fichier:
nombre de blocs utilisés par le fichier
type de fichier: fichier simple, lien symbolique, répertoire, périphérique,
etc.

Question 7

Quels systèmes de fichiers sont associés ou compatibles avec les différents systèmes d’exploitation?

Answer 7

Choix du SGDF en fonction du système d’exploitation.
Généralement, les systèmes d’exploitation les plus récents supportent un grand
nombre de systèmes de fichiers.
MS-DOS (et compatibles) Windows 95 :FAT16 et FAT12 (pour les supports de
moins de 16 Mio).
Windows 95 OSR2 + FAT16 et FAT32
Windows NT (NT3.x et NT4), FAT16 et NTFS.
Windows NT5 (Windows 2000) FAT16, FAT32 et NTFS(5).
Vista SP1 exFAT (+ les autres) (Gestion des noms longs, et l’ACL).
Le monde des Unix (Unix, Linux, BSD, MacOS X): très grand nombre de
SGDF supportés. Suivent généralement des standards et notamment POSIX.

Question 8

En quoi consiste le formatage de haut niveau en matière de SGDF?

Answer 8

-Choix de la taille des clusters:
1, 2, 4, 8, 16, 32, 64, 128 secteurs (512b à 64Kib)
Rappel :1 cluster est la plus petite unité de stockage sur un système de fichier
-Création du système de gestion de fichiers
Les clusters sont numérotés et répertoriés dans un index : La table
d’allocation des fichiers
-Création de divers fichiers ou zones systèmes du volume.

Lors du formatage des partitions, Les secteurs sont regroupés en
clusters.

Question 9

Comment fonctionne le système de fichiers FAT?

Answer 9

LE M.B.R.
Le Master Boot Record se trouve sur le 1er secteur de la 1ère piste du disque dur (avant la
partition)
Il contient :
- Programme lu et lancé par le BIOS lors du démarrage de la machine
- La table des partitions (type, taille et emplacement)
Une disquette n’à pas de partition. Son MBR est en fait un VBR
Le secteur de boot contient :
-des informations sur la structure de la partition
(Nb de secteur(s) par cluster, par piste, réservés, nb d’entrées dans le répertoire
racine,…)
-des messages d’erreur - Ex. “NTLDR manquant”
(NTLDR →NT loader : le “chargeur” de Windows)
-le bootstrap
(petit programme chargé d’en lancer un plus gros, en général, l’OS, via le NTLDR sous
NT par exemple)
LE REPERTOIRE RACINE
(Root Directory) contient :
-la liste des fichiers et dossiers présents à la racine volume
-l’emplacement du début des fichiers
-leur taille
-leur extension, date et attribut*
* Read Only, Hidden, System, Directory, Archive, Normal, Compressed, Encrypted,…
Enregistrement d’un fichier
-Répertoire Racine :
Création d’une entrée au nom du fichier
(Emplacement début, taille, extension, attribut [Archive,Caché, Système] )
-F.A.T. (file allocation table)
Inscription des N° de clusters successifs occupés
Dans le dernier cluster, à la fin du fichier : marquage E.O.F. (End Of File)
La F ile .A llocation .T able .
Elle gère le chainage de l’allocation du fichier dans les différents
clusters
Si 1 cluster est occupé par 1 fichier, la ligne attribuée à ce cluster dans la
FAT mentionne :
-Le N° du cluster qui contient la suite du fichier
Ou
-E.O.F. si le fichier se termine dans ce cluster
Dans le cas contraire, cela veut dire que le cluster est libre

Question 10

Quelles sont les différences entre FAT16 et FAT32?

Answer 10

En FAT 16
Les clusters sont indexés avec des N° composés de 16 bits
1er N° de cluster : 0000000000000000
2 nd N° de cluster : 0000000000000001
-----------------------------
Dernier N° de cluster : 1111111111111111
Taille maximum d’un volume en FAT 16
16 bits = 2 16 = 65 536 possibilités d’indexation
Taille du plus gros cluster = 64 secteur
= 64 X 512 octets
= 32 768 octets
≈ 32 Ko
Taille maxi du disque dur = 65 536 x 32 768
= 2 147 483 648 octets
≈ 2 Go.
Taille maximum d’un volume en FAT 32
32 bits = 2 32 = 4 294 967 296 possibilités d’indexation
Taille du plus gros cluster = 64 secteur
= 64 X 512 octets
= 32 768 octets ≈ 32 Ko
Taille maxi du disque dur = 4 294 967 296 X 32 768
= 140 737 488 355 328 octets
= soit environ 140 To.
N.B. :En FAT 32, sous Windows :
-Taille maximum d’une partition : 32 Go
-Taille maximum d’un fichier : 4 Go

Question 11

Comment fonctionne l’enregistrement et la suppression de fichiers dans la FAT?

Answer 11

Étapes de l’enregistrement d’un fichier
1°) Le fichier est écrit sur le disque dur
2°) Le nom du fichier est écrit dans le répertoire racine
(Ex. = cluster N ° 452845 puis emplacement début du fichier)
3°) L’emplacement du reste du fichier, son chaînage dans les différents
cluster, est noté dans la FAT. Le dernier est noté EOF
(Ex. 467858 puis 469542 puis 482635 puis E.O.F.)

Que se passe - t- il
quand j’efface un fichier ?
En réalité, je n’efface rien ! car la priorité du PC est la vitesse.
-La 1 ère lettre du nom du fichier est écrasée par le caractère Õ (E5 en
hexa) dans le répertoire racine
-La table d’allocation de fichiers “FAT” supprime les indications
d’occupation des clusters

Question 12

Que signifie la notion de slack?

Answer 12

Que se passe-t-il quand j’enregistre un
nouveau fichier par dessus
un ancien ?
Fin du dernier secteur occupé par le fichier
= RAM SLACK
Jusqu’à windows 98-ME, la fin du secteur est remplie avec du
contenu aléatoire de mémoire vive.
Après, la fin du secteur est remplie avec des 0.
-Le DISK SLACK est ce qui reste du précédent fichier, en fin de cluster, dans
les secteurs totalement inoccupés par le nouveau fichier.
-Le FILE SLACK est la fin du secteur ( RAM SLACK) + la fin du cluster (DISK SLACK)

Question 13

Quelles sont les fonctionnalités du NTFS?

Answer 13

NTFS permet de :
Mettre des droits très spécifiques sur les fichiers et répertoires : lecture,
écriture, exécution, appropriation, etc.
Chiffrer des fichiers avec EFS (Encrypting File System)
Compresser des fichiers
Etablir des quotas par volume
CHIFFREMENT
– Possibilité de chiffrer
• Des fichiers
• Tous les fichiers dans un répertoire
– Impossibilité de chiffrer
• Des fichiers compressées
• Des fichiers systèmes
• Les fichiers dans le répertoire racine
Les fichiers chiffrés apparaissent en vert dans l’explorateur
ACCES AUX DONNEES CHIFFREES
Lorsqu’un fichier est chiffré, l’original en clair est effacé par le
système. Il est donc possible de retrouver l’original par des
méthodes forensiques.
Possibilité d’utiliser un disque Linux (Ophcrack) pour trouver le mot
de passe utilisateur et accéder aux données avec le profil de leur
propriétaire
Compression de fichiers par le système NTFS
Ne peut agir que si le cluster < 4096 octets (8 secteurs)
Décompression en RAM
Lors d’analyse physique de disque dur : probabilité de passer à côté
de certains éléments
Taille maxi théorique d’un volume : 16 hexaoctets
(1 hexaoctets = 1000 000 000 terra octets)
Taille maxi d’un fichier : 2 To
Prise en charge des volumes dynamiques (raid logiciel)
Montage d’une partition dans un répertoire comme sous Linux

Question 14

Quel est le principe de l’écriture paresseuse en NTFS?

Answer 14

L’écriture paresseuse (Lazy write)
-Fonctionne à la manière du cache
-Risque de perte d’information si on débranche un ordinateur en
NTFS sous tension
-Problème d’écriture décalée
• Vous écrivez vos documents sur une clé USB et vous la débranchez
tout de suite.
• Vous effacez toutes les données de la clé USB et vous la débranchez
tout de suite
OU SONT VOS DONNEES ?
Sur la clé ?
Sur le disque dur ?
Dans la R.A.M. ?
On peut désactiver cette écriture décalée :
Panneau de configuration
Gestionnaire de périphériques
Click droit sur le lecteur de disque concerné
Propriété
Stratégie
Décocher « Activer le cache d’écriture sur le disque »

Question 15

Comment fonctionnent les logs des transactions sous NTFS?

Answer 15

Les transactions sur un système NTFS sont loggées de façon à
permettre l’accomplissement d’opérations en attente.
En cas d’erreur, le système regarde dans le fichier $Logfile pour
déterminer quelles sont les opérations à effectuer

Question 16

Quel est le principe du NTFS?

Answer 16

TOUT, EN NTFS, EST STOCKE COMME UN FICHIER
NTFS utilise une série de fichiers de Métadonnées
Les fichiers de Métadonnées liés au système NTFS commencent par $
Ces Métadonnées sont :
des données utilisées seulement par le système de fichier NTFS
pour accéder à d’autres données.

Question 17

Qu’est ce que la $MFT dans le système NTFS?

Answer 17

$MFT
Fichier stockant les infos concernant les fichiers (nom, date, heure,
attributs, taille…) dans une partition NTFS
La MFT (Master File Table) est le coeur du système NTFS
Contrairement à la FAT, l’emplacement de la MFT n’est pas fixe
Le fichier $MFT étant fréquemment consulté, on a intérêt à ce qu’il ne
soit pas fragmenté.
ZONE BUFFER MFT
• La taille de la zone peut être configurée au départ : 12,5%, 25%, 37,5% ou
50%
• But : maintenir le fichier $MFT non fragmenté
• Par défaut, la zone de la MFT fait 12,5 % de l’espace disque.
Quelle taille choisir ?
• Plutôt des petits fichiers → grande zone MFT
• Plutôt des grands fichiers → petite zone MFT (laisser de la place pour les
blocs)
• Le fichier $MFT grandit dans sa zone tant que possible, ensuite
allocation en dehors.
• Mais une MFT fragmentée ralentit le système
Une entrée MFT fait toujours 1024 octets
En revanche, la taille de ses attributs est variable
La MFT contient une entrée par fichier/répertoire
La MFT permet de lire directement les fichiers « résidents » ou pointe
vers les « non-résidents »
Quand le fichier est de petite taille (<1024 octets), il est enregistré
directement dans l’entrée de la MFT
On parle alors de données « résidentes »
Quand le fichier est trop grand (>1024 octets), l’attribut $data contient
alors une « run-list » qui pointe les clusters occupés par ledit fichier
On parle alors de données « non-résidentes »

Question 18

Quelles sont les nouveautés du système NTFS par rapport au système FAT?

Answer 18

Data stream : flux d’informations ou méta-données ajoutées aux données
des fichiers pour des raisons de compatibilité NTFS.
Ces données apparaissent quand on survole un fichier. Ces données sont
perdues quand on copie le fichier vers un support non NTFS.
On retrouve ici le concept de fork utilisé dans les fichiers Macintosh.
La fin d’une entrée MFT inoccupée (MFT Slack) est remplie avec des
zéros.

Question 19

Outre la $MFT, quelles sont les autres fichiers de métadonnées?

Answer 19

$LogFile
Log les transactions sur les fichiers aux fins de récupération de
données
$Volume
Nom du volume, version du NTFS et état du volume (dirty flag)
$AttrDef
Contient des informations sur tous les attributs de fichiers définis sur le
volume
. (dot)
Point de montage du volume
$Bitmap
Carte des clusters occupés
$Boot
Secteur de boot du volume.
Seul fichier à emplacement fixe : secteur 0
Répliqué sur le dernier secteur du volume par sécurité.
-Sa copie n’est pas visible comme un fichier. Le secteur est simplement marqué
« occupé »
$Badclus
Marque les mauvais clusters du volume

Question 20

Comment fonctionne le processus de boot en NTFS?

Answer 20

Le MBR (Master Boot Record) pointe sur le Secteur de boot (fichier
$Boot)
Le secteur de boot pointe sur la Master File Record (fichier $MFT)

Question 21

Comment fonctionne la création de fichiers en NTFS?

Answer 21

Etapes de la création d’un fichier.
•Écriture du fichier $Logfile
•Création d'une entrée dans $MFT
•Le répertoire parent est mis à jour
•$Bitmap est mis à jour
•Les données sont inscrites sur le disque

Question 22

Comment fonctionne la suppression d’un fichier en NTFS?

Answer 22

Deux suppression possibles
Vers la corbeille
•Click droit - delete
•Glissé-déposé dans la corbeille
•Touche DEL (suppr)
Suppression définitive
•Shit + del
•Shit + click droit – delete
•Delete en mode commande
•Vidage de la corbeille
-$Logfile modifié pour indiquer que des changements sont en cours sur le
volume
Suppression de l’entrée dans le répertoire parent ,
-$MFT est mise à jour :
Les entrées marquées « utilisées » sont maintenant marquées « libres »
-•$Bitmap est mis à jour
Pour les données non-résidentes, les entrées marquées « utilisées » sont
marquées « libres ».
LES DONNEES RESIDENTES/ NON RESIDENTES NE SONT PAS EFFACEES.