📂Système de fichier

📁 Système de fichiers FAT

File Allocation Table (FAT) est un système de fichiers courant pour les systèmes d'exploitation Microsoft, utilisé depuis les années 1970. Il organise les données en clusters et crée une table indiquant l'emplacement de chaque fichier sur le disque.

🔍 Structures de données :

  • Clusters : Unités de stockage de base, contenant des bits d'informations.

  • Répertoires : Stockent les informations sur les fichiers, comme leur nom et leur emplacement de départ.

  • File Allocation Table FAT : Liste chaînée des clusters, indiquant l'état du cluster et son prochain cluster dans la chaîne.

🔢 Variantes

FAT12, FAT16 et FAT32 sont des versions du système FAT, différenciées par le nombre de bits utilisés pour adresser les clusters. Par exemple, FAT32 utilise 28 bits pour adresser les clusters, permettant un maximum de 268 435 456 clusters. La taille maximale du fichier est de 4 Go pour FAT16 et FAT32

💾 Système de fichiers exFAT

Conçu pour les appareils multimédias, exFAT est la norme pour les cartes SD de plus de 32 Go. Il prend en charge des tailles de fichier et de volume maximales de 128 Pétaoctets (Po) et peut contenir jusqu'à 2 796 202 fichiers par répertoire.

📁 Système de fichiers NTFS

Le système de fichiers NTFS (New Technology File System) est une évolution du système FAT (File Allocation Table) de Microsoft. Introduit en 1993 avec Windows NT 3.1, il est devenu courant avec Windows XP en raison de ses fonctionnalités avancées en termes de sécurité, de fiabilité et de capacités de récupération.

📝 Fonctionnalités clés

  • Journalisation : NTFS conserve un journal des modifications apportées aux métadonnées du volume, permettant une récupération en cas de panne ou de déplacement des données.

  • Contrôles d'accès : Permet de définir le propriétaire d'un fichier/répertoire et les autorisations pour chaque utilisateur.

  • Shadow copy : Garde une trace des modifications apportées à un fichier, permettant de restaurer des versions antérieures pour la récupération ou la restauration système.

  • Flux de données alternatifs : Permet à un fichier d'avoir plusieurs flux de données stockés en un seul fichier, utilisé par exemple par les navigateurs pour identifier les fichiers téléchargés depuis Internet.

  • Master File table (MFT) : Une base de données structurée qui suit les objets stockés dans un volume, organisant ainsi les données du système de fichiers NTFS.

🔍 Fichiers clés dans la MFT

  • $MFT : Contient des informations sur tous les fichiers du volume, pointant vers les clusters où ils sont stockés.

  • $LOGFILE : Enregistre les transactions du système de fichiers pour maintenir son intégrité.

  • $UsnJrnl : Journal de séquence de mise à jour, enregistrant les modifications apportées aux fichiers et leur raison.

🛠️ Outils

MFT Explorer, développé par Eric Zimmerman, est un outil utilisé pour explorer les fichiers MFT. Il peut être utilisé en ligne de commande pour analyser les fichiers MFT et générer des rapports au format CSV ou JSON.

Pour obtenir des informations, vous pouvez saisir la commande : MFTECmd.exe.

Par exemple, pour analyser le fichier $MFT, exécutez la commande suivante :

MFTECmd.exe -f <chemin-vers-le-fichier-$MFT> --csv <chemin-pour-sauvegarder-les-résultats-en-csv>

Ensuite, ouvrez le fichier avec EZViewer pour analyser et effectuer des recherches à l'aide de la fonction CTRL + F

Avec NTFS, Microsoft a considérablement amélioré les fonctionnalités de gestion des fichiers et de sécurité, en faisant un choix privilégié pour les systèmes d'exploitation Windows modernes.

PreviousFiche mementoNextExplorer les Artefacts

Last updated