Le main boot record (MBR) est le premier secteur physique de tout disque.
Il contient dans
ses 512 octets des informations capitales sur la structure du support et la moindre altration de
son contenu rend gnralement le disque illisible.
Au dmarrage d'un ordinateur, lorsque le BIOS a fini sa squence d'initialisation (POST =
Power-On Self Test) la dernire instruction qu'il excute envoie la tte de lecture lire le
contenu de ce secteur sur le disque que le BIOS a enregistr comme disque de dmarrage. La
suite du comportement de l'ordinateur est dicte par les informations contenues dans le MBR.
Le contenu sera dtaill partir le la fin du secteur parce que, paradoxalement c'est plus
logique sur le plan fonctionnel.
Tout d'abord l'ordinateur repre la prsence sur les deux derniers octets du nombre
55AA (en hexadcimal) appel aussi "marque de secteur excutable". En l'absence de
ce marqueur les oprations ne pourraient se poursuivre.
Ensuite viennent 64 octets constituant la table des partitions, c'est--dire indiquant le
nombre de partitions prsentes sur le disque et leur emplacement.
4 octets contiennent la signature numrique du disque qui est affecte au moment du
formatage et qui est reprise dans de nombreuses cls de la base de registre.
Une centaine d'octets (variable selon la langue) sont affects au texte des messages
d'erreur au dmarrage (table de partition non valide, Systme d'exploitation absent...).
Enfin les 300 premiers octets du secteur contiennent un code excutable dont
l'importance est capitale.
En effet, aprs avoir constat la prsence du marqueur 55AA l'ordinateur excute ce code.
Dans une premire tape le code charge en mmoire la table des partitions, repre en la lisant
quelle est la partition active (celle qui contient le systme d'exploitation) et envoie l'ordinateur
lire le secteur de boot (= de dmarrage, ne pas confondre avec le MBR) de cette partition.
Secteur de boot d'une partition
Il faut savoir en effet que chaque partition NTFS contient 16 secteurs rservs (les 9 derniers
n'tant pas utiliss). Le premier est le secteur de boot proprement dit. Comme le MBR il
contient le marqueur 55AA, un code excutable, des informations sur la structure de cette
partition et des messages d'erreur (dont le trop fameux "NTLDR manquant").
Le code excutable charge en mmoire les informations sur la partition et va lire la suite du
code excutable qui se trouve dans les 6 secteurs suivants. Ce dernier code est la bootstrap qui
va son tour lancer l'excution du fichier NTLDR (NT loader : le "chargeur" de Windows).
Celui-ci charge NTDETECT.COM puis tous les fichiers de Windows
Toute altration du secteur de boot d'une partition va conduire un chec. Selon la nature de
l'altration le message d'erreur sera diffrent. En particulier le message NTLDR manquant ne
signifie gnralement pas que le fichier NTLDR est absent, mais qu'il n'a pas t trouv la
�suite d'une modification du secteur de boot. Bien entendu le bootstrap ne sert que pour la
partition systme.
La structure est un peu diffrente pour une partition de format FAT, mais les principes
gnraux sont les mmes. Enfin il existe une copie de sauvegarde du secteur de boot dans
chaque partition.
Quelques remarques
Les altrations du MBR peuvent tre rpares par l'instruction FIXMBR excute partir de
la console de rcupration du CD de Windows. Cette instruction rcrit le code excutable et le
marqueur 55AA. Elle ne modifie pas la table des partitions que contient ce secteur.
Il y a un certain nombre d'annes divers virus ont tir parti de la prsence de code excutable
dans le MBR pour s'y installer sa place et se lancer ainsi avant le systme d'exploitation.
Lors de l'infection le virus plaait une copie du MBR sur un secteur arbitraire du disque.
Aprs s'tre excut le virus allait lire cette copie qui, son tour lanait le systme
d'exploitation de telle sorte que tout semblait se drouler normalement. La recette classique
qui tait alors donne (pour le DOS et les versions Windows 95,98 et Millenium) consistait
excuter la commande FDISK /MBR (ou FIXMBR pour versions suivantes de Windows)
pour restaurer le MBR. Cette solution ne marche que si le code du virus ne s'tend pas sur
l'espace contenant les informations sur les partitions. Si l'espace rserv ces informations est
modifi, le MBR restaur ne va pas aller chercher la copie du secteur d'origine faite par le
virus car lui seul sait o elle a t place. En consquence le disque dur n'est plus accessible.
La seule solution de rparation pour un antivirus tait d'aller chercher la copie du secteur
(avec la table de partition intacte) pour la replacer dans le MBR.
Dernirement un rootkit utilisant cette vieille technique d'infection du MBR a t observ.
Dans son cas FIXMBR fonctionne correctement car son code n'altre pas la table des
partitions. Il n'est pas vident qu'il en sera de mme pour les suivants.
Les altrations du secteur de boot peuvent tre rpares par la commande FIXBOOT
(premire chose faire face une erreur indiquant un problme avec NTLDR).
Enfin l'utilitaire TestDisk est capable de rparer la plupart des checs dus une altration du
MBR ou des secteurs de boot, en particulier ceux qui se traduisent par un symptme
angoissant : la disparition d'une partition ou l'existence d'une partition devenue illisible.
