Sem9

Question 1

Quels sont les trois étapes qui doivent etre faites afin d’écrire et de lire des données sur un disque ?

Answer 1

• formatage bas-niveau
• partitionnement
• formatage haut niveau

Question 2

Que doit on organiser lors du formatage de bas niveau?

Answer 2

Organiser le stockage en blocs de taille égale -> secteurs

Question 3

Un secteur a une taille fixe?

Answer 3

Oui

Question 4

Le secteur peut être changé par l’utilisateur?

Answer 4

Non il est définit au moment de la fabrication du disque

Question 5

Quel taille de secteur?

Answer 5

512 ou 4096 bytes

Question 6

La plus petite unité de disque peut être comment ?

Answer 6

• écrite
• allouable
• adressa le

Question 7

C’est que le logical block adressing (LBA)?

Answer 7

Il s’agit d’un nbre unique permettant d’adresser chaque secteur en ordre séquentiel

Question 8

À quoi est relatif le numéro de secteur?

Answer 8

Il est relatif à un volume logique

Question 9

Le numéro du secteur est lié à sa position physique sur le disque?

Answer 9

Non relatif à un volume logique

Question 10

L’adressage LBA commence à 0?

Answer 10

Vrai

Question 11

Lors du partitionnement que sépare t’on?

Answer 11

Séparation du disque en volume logiques/ partitions

Question 12

Exemple schéma partitionnement FAT et NTFS page 11

Question 13

Quels sont les deux types de partitionnement ?

Answer 13

• MBR master boot record
• GPT GUID Partition Table

Question 14

Ou est enregistré le MBR?

Answer 14

Enregistre sur le 1er secteur du support

Question 15

Quelle taille de master boot record?

Answer 15

512 octets

Question 16

Que contient le MBR?

Answer 16

• code de démarrage
• la signature du support
• table de partitions Principale ( MPT)

Question 17

Cbm de partition peut contenir au maximum la master partition Table (MPT)

Answer 17

4 partitions max

Question 18

C’est quoi le code de démarrage du MBR?

Answer 18

Les données nécessaires au démarrage de l’ordi après l’exécution des instructions du BIOS

Question 19

Par quoi finit le MBR?

Answer 19

Finit par 0x55AA

Question 20

Quelles sont les 4 parties du MBR?

Answer 20

• Boot code
• disk signature
• master partition Table
• boot sector signature

Question 21

De quoi se compose le partitionnement GPT?

Answer 21

• MBR de protection (1 secteur -> LBA 0)
• en-tête de GPT (1 secteur -> LBA 1)
• table de partitions (32 secteurs -> LBA 2 à 33)

Question 22

Cbm de partitions maximum dans la table de partitions du Guid Partition Table?

Answer 22

32 secteurs x 4 entrée = 128 partitions max

Question 23

Par quoi le disque de la GUID partition Table se finit ?

Answer 23

Finit pas les mêmes info (sauvegarde)
SHEMA page 15

Question 24

Que crée le formatage haut niveau?

Answer 24

Création de systèmes de fichiers sur les partitions

Question 25

Dans le formatage du haut niveau cbm de système de fichier par partition?

Answer 25

Un système de fichiers par partition

Question 26

En anglais que veut dire système de fichier FAT?

Answer 26

file allocation table

Question 27

Quels sont les 4 sous-types de systèmes de fichiers FAT?

Answer 27

- FAT 12/16/32 - exFAT

Question 28

FAT à d’abord été créé comme simple système de fichiers pour les disquettes pour les PC IBM?

Answer 28

Vrai

Question 29

Quels sont les 4 régions de base du système de fichiers FAT?

Answer 29

- région réservée - région FAT - région Root Directory - région avec les sous-dossiers et les fichiers

Question 30

En quoi sont divisé les 4 régions de base de FAT?

Answer 30

Zone système (Volume Boot Record/ FAT 1/ FAT 2) Zone de donée (root directory/ fichiers et sous-dossier)

Question 31

Par quoi commence le root directory dans l’entrée de répertoire FAT32? Quelle taille par entrée?

Answer 31

Root directory 32 bytes par entrée

Question 32

Que contient les entrées de répertoire de FAT32?

Answer 32

- nom du fichier/ dossier - date de création - date de modification - date d’accès - premier cluster - droits d’accès

Question 33

Qu’indique le tableau FAT (file allocation table)?

Answer 33

- L’état d’allocation des clusters - l’emplacement du contenu d’un fichier - l’état des données (si secteurs défectueux)

Question 34

Un cluster contient plusieurs secteurs, mais où est indiqué le nbre de secteurs par cluster?

Answer 34

Dans la VBR

Question 35

Pk il y a FAT 1 et FAT 2?

Answer 35

FAT2 est une copie de sauvegarde

Question 36

Toute modification apportée à la FAT1 est immédiatement enregistrée dans la FAT2?

Answer 36

Vrai

Question 37

Comment est indiqué un cluster non alloué?

Answer 37

0x00

Question 38

Comment est indiqué un cluster alloué?

Answer 38

Contient la valeur du cluster contenant la suite du contenu du fichier (0003 - 0004 etc…)

Question 39

Comment est indiqué un cluster alloué indiquant la fin du fichier dans FAT32?

Answer 39

0x FF FF FF F8 ou 0x FF FF FF 0F

Question 40

Comment est indiqué un cluster défectueux dans FAT32?

Answer 40

0x FF FF FF F7

Question 41

Où sont stockés la donnée d’un fichier placé dans la corbeille? Dans Windows Vista

Answer 41

Sous le SID de l’utilisateur dans le dossier $RECYCLE.BIN qui est dans le répertoire racine

Question 42

Sur Windows, chaque utilisateur est associé à un identifiant unique qui est utilisé pour le contrôle d’accès aux diverses ressources comme le fichiers, les clés de registre ou le partage réseau est appelé comment ?

Answer 42

Security ID ou SID

Question 43

Que se passe t’il après avoir

Answer 43

WMIC USERACCOUNT

Question 44

Chaque fichier supprimé résulte en deux nouveaux fichiers dans la $RECYCLE.BIN, lesquels?

Answer 44

- fichier $R -> correspond au contenu du fichier original - fichier $I -> contient les métadonnées

Question 45

Le fichier $R la date de création a été mis à jour et la date de modification?

Answer 45

- la date de création est mis à jour (le fichier est copié) - la date de modification ne l’est pas

Question 46

Comment est la structure $I des Windows 10?

Answer 46

- Description - Hesder - File size - Deleted Timestamp - File Name length - File Name Tableau en page 36

Question 47

Dans l’ordre que peut on trouver dans $I ?

Answer 47

- identifiant du système d’exploitation - taille du fichier en byte - date de suppression - taille du nom du fichier (taille effective +1) - chemin d’accès et nom du fichier

Question 48

Par quoi commence une ligne sur deux après la délétion?

Answer 48

E5 REGARDER PAGE 39

Question 49

Que se passe t’il après avoir vidé la corbeille?

Answer 49

Les $ commencent par Å dans la ligne de texte

Question 50

Comment se comporte la suppression d’un dossier?

Answer 50

Ils se comportent comme des fichiers Le 2 premier BYTES sont changés en E5 dans la corbeille et le textes a changé le $ en å après la suppression de la corbeille

Question 51

Même une fois la corbeille vidée le contenu du dossier existe tjrs?

Answer 51

Vrai mais il n’y a plus de références à eux. En effet l’entrée du fichier est resté tel quel!

Question 52

Comment rechercher du contenu supprimé?

Answer 52

- ouvrir la corbeille et restaurer les fichiers - accéder au dossier $RECYCLE.BIN et copiez les fichiers $R et analyser les fichiers $I correspondants - utiliser des outils

Question 53

Ouvrir la corbeille et restaurer les fichiers change le système de fichiers/ métadonnées?

Answer 53

Vrai

Question 54

Ouvrir la corbeille et restaurer les fichiers fonctionne uniquement si quoi?

Answer 54

L’image/pc peut être démarré

Question 55

Bien que les entrées soient marquées comme supprimées elles ne sont svt pas écrasées ? Ou sont annexé les nouvelles entrées?

Answer 55

Vrai et annexé à la fin

Question 56

Attention tjrs vérifier que les entrées de fichiers et dossiers n’aient pas été réallouées?

Answer 56

Vrai

Question 57

La notion de cluster se réfère tjrs à quoi? Et sa taille est tjrs un multiple de quoi?

Answer 57

À un volume logique et sa taille est un multiple de secteurs

Question 58

La notion de secteur se réfère à quel volume?

Answer 58

Physique (depuis le début du disque) ou logique (début de la partition)

Question 59

Comment fonctionne le carving de répertoires?

Answer 59

- il est possible de rechercher des fichiers supprimés dans les répertoires existants - après le premier octet 0xE5 on peut lire la suite des caractères

Question 60

Que rechercher au début d’un répertoire FAT32 lors de Carving de répertoire?

Answer 60

"." Et ".." ( 2E)

Question 61

En dernier recours que faire avec le carving de fichiers?

Answer 61

Il faut balayer le disque dur à la recherche de fichiers : - soit pour le texte directement (fichiers txt) - pour les marqueurs de fichier (header et footer d’un fichier)

Question 62

Quel est le problème lorsqu’on balaye le disque dur à la recherche de fichiers?

Answer 62

En raison de la fragmentation, parfois le résultats n’est pas pertinent. On connaît le début et la fin, mais aucun moyen de vérifier le milieu.

Question 63

Quel outils peut aider à récupérer des fichiers effacés?

Answer 63

- FTK imager - Autopsy - Photorec Carver - Recuva