Qu'est ce que le mbr ?
Ce tutoriel explique ce qu'est le MBR d'un disque ou d'un média amovible, son organisation et à quoi il sert.
Pré-requis
- Disposer des droits d'administration
- Connaitre la numération hexadécimale.
- Utiliser la calculatrice gcalctool en mode programmation (pour faire facilement des conversions hexadécimal/décimal)
Qu'est ce que le mbr et comment y accéder
Le mbr (Master Boot Record) est le premier secteur d'un disque dur, d'une clé usb ou d'un autre média amovible.
Sa présence est essentielle pour accéder aux systèmes de fichiers présents et en cas de corruption de ce dernier il sera impossible d'accéder aux données ou, dans une moindre mesure, impossible de redimensionner les partitions.
Compte tenu du risque encouru, son accès ne peut s'effectuer qu'en mode superutilisateur (sudo).
Pour y accéder nous aurons besoin de la fonction dd. Cette fonction permet d'accéder directement à un contenu présent sur le disque en s'affranchissant de tout système de fichiers.
Le disque est considéré comme un espace linéaire constitué de blocs de données successifs, appelés secteurs, de 512 octets chacun, et dont la position est repérée son rang dans cet espace, à partir de 0 (adresse du MBR). Cette méthode d'adressage est nommée LBA (Logical block addressing). La dernière adresse, qui n'est pas forcément utilisable, peut être calculée en divisant la taille du disque en octets par 512 et en retirant 1.
Une des syntaxes pour afficher le mbr est par exemple :
sudo dd if=/dev/sda bs=512 count=1 | hexdump -C
Ce qui signifie en clair :
En tant que superutilisateur (sudo) je demande de faire une copie par blocs (dd) avec comme source (if) le matériel /dev/sda (premier disque dur), que le bloc désiré doit faire 512 octets et que je ne copie qu'un bloc.
La sortie par défaut est ensuite redirigée (pipe | ) dans la moulinette hexdump qui formate les données sous la forme adresse, valeurs hexadécimale de 16 octets consécutifs et caractères ascii correspondants.
Les différentes parties du mbr
Voici par exemple ce que donne le mbr de mon disque dur
00000000 eb 63 90 d0 bc 00 7c 8e c0 8e d8 be 00 7c bf 00 |.c....|......|..| 00000010 06 b9 00 02 fc f3 a4 50 68 1c 06 cb fb b9 04 00 |.......Ph.......| 00000020 bd be 07 80 7e 00 00 7c 0b 0f 85 10 01 83 c5 10 |....~..|........| 00000030 e2 f1 cd 18 88 56 00 55 c6 46 11 05 c6 46 10 00 |.....V.U.F...F..| 00000040 b4 41 bb aa 55 cd 13 5d 72 0f 81 fb 55 aa 75 09 |.A..U..]r...U.u.| 00000050 f7 c1 01 00 74 03 fe 46 10 66 00 80 01 00 00 00 |....t..F.f......| 00000060 00 00 00 00 ff fa 90 90 f6 c2 80 75 02 b2 80 ea |...........u....| 00000070 74 7c 00 00 31 c0 8e d8 8e d0 bc 00 20 fb a0 64 |t|..1....... ..d| 00000080 7c 3c ff 74 02 88 c2 52 bb 17 04 80 27 03 74 06 ||<.t...R....'.t.| 00000090 be 88 7d e8 1c 01 be 05 7c f6 c2 80 74 48 b4 41 |..}.....|...tH.A| 000000a0 bb aa 55 cd 13 5a 52 72 3d 81 fb 55 aa 75 37 83 |..U..ZRr=..U.u7.| 000000b0 e1 01 74 32 31 c0 89 44 04 40 88 44 ff 89 44 02 |..t21..D.@.D..D.| 000000c0 c7 04 10 00 66 8b 1e 5c 7c 66 89 5c 08 66 8b 1e |....f..\|f.\.f..| 000000d0 60 7c 66 89 5c 0c c7 44 06 00 70 b4 42 cd 13 72 |`|f.\..D..p.B..r| 000000e0 05 bb 00 70 eb 76 b4 08 cd 13 73 0d f6 c2 80 0f |...p.v....s.....| 000000f0 84 d0 00 be 93 7d e9 82 00 66 0f b6 c6 88 64 ff |.....}...f....d.| 00000100 40 66 89 44 04 0f b6 d1 c1 e2 02 88 e8 88 f4 40 |@f.D...........@| 00000110 89 44 08 0f b6 c2 c0 e8 02 66 89 04 66 a1 60 7c |.D.......f..f.`|| 00000120 66 09 c0 75 4e 66 a1 5c 7c 66 31 d2 66 f7 34 88 |f..uNf.\|f1.f.4.| 00000130 d1 31 d2 66 f7 74 04 3b 44 08 7d 37 fe c1 88 c5 |.1.f.t.;D.}7....| 00000140 30 c0 c1 e8 02 08 c1 88 d0 5a 88 c6 bb 00 70 8e |0........Z....p.| 00000150 c3 31 db b8 01 02 cd 13 72 1e 8c c3 60 1e b9 00 |.1......r...`...| 00000160 01 8e db 31 f6 bf 00 80 8e c6 fc f3 a5 1f 61 ff |...1..........a.| 00000170 26 5a 7c be 8e 7d eb 03 be 9d 7d e8 34 00 be a2 |&Z|..}....}.4...| 00000180 7d e8 2e 00 cd 18 eb fe 47 52 55 42 20 00 47 65 |}.......GRUB .Ge| 00000190 6f 6d 00 48 61 72 64 20 44 69 73 6b 00 52 65 61 |om.Hard Disk.Rea| 000001a0 64 00 20 45 72 72 6f 72 0d 0a 00 bb 01 00 b4 0e |d. Error........| 000001b0 cd 10 ac 3c 00 75 f4 c3 5d 52 5d 52 00 00 80 01 |...<.u..]R]R....| 000001c0 01 00 07 fe ff ff 3f 00 00 00 d6 24 c2 03 00 00 |......?....$....| 000001d0 c1 ff 07 fe ff ff 15 25 c2 03 86 8c e8 04 00 fe |.......%........| 000001e0 ff ff 83 fe ff ff 9b b1 aa 08 78 b1 d4 01 00 fe |..........x.....| 000001f0 ff ff 05 fe ff ff 50 63 7f 0a 71 27 22 08 55 aa |......Pc..q'".U.| 00000200 1+0 enregistrements lus 1+0 enregistrements écrits 512 octets (512 B) copiés, 0,00119184 s, 430 kB/s
Au milieu de tout ce charabia on distingue quelques messages - en fait des messages d'erreurs - qui pourraient être affichés en cas de détection de problèmes.
La partie exécutable
La première partie, adresses comprises entre 000 et 1b7, correspond à la partie exécutable du mbr. Elle est chargée en mémoire vive (ainsi que le reste du mbr) lorsque le PC démarre ("boote") sur ce disque. Elle a pour fonction de vérifier la validité de la table des partitions et de rechercher une partition amorçable du disque.
L'identifiant de disque
Entre 1b8 et 1bb se trouve l'identifiant du disque, soit les octets 5d 52 5d 52, que l'on peut avoir par exemple en faisant un
sudo fdisk -lu
Identifiant de disque : 0x525d525d
La table des partitions primaires
Le code présent dans le mbr n'est pas utilisé en cas de boot en mode UEFI
Cette table des partitions est donc ici (en affichant à partir de l'adresse 1be pour avoir une ligne par partition puis en séparant par groupes d'octets)
000001be 80 01 01 00 07 fe ff ff 3f 00 00 00 d6 24 c2 03 000001ce 00 00 c1 ff 07 fe ff ff 15 25 c2 03 86 8c e8 04 000001de 00 fe ff ff 83 fe ff ff 9b b1 aa 08 78 b1 d4 01 000001ee 00 fe ff ff 05 fe ff ff 50 63 7f 0a 71 27 22 08
La première ligne qui correspond à la première entrée concerne sda1 (qui n'est pas forcément la partition au début du disque).
Elle est marquée comme bootable - l'étoile qui apparait lors d'un fdisk - du fait que le premier octet a la valeur hexa 80. Si la partition n'est pas marquée comme amorçable alors on aura la valeur 00.
Le groupe des 3 octets qui suivent est une réminiscence des temps anciens où le bios ne reconnaissait que le système "tête", "secteur" et "cylindre". Il indique le début de la partition.
La tête est codée sur 8 bits et peut prendre une valeur entre 0 et fe (entre 0 et 254 en décimal) - ici 1
Le secteur est codé sur 6 bits et peut prendre une valeur entre 1 et 3f (entre 1 et 63, soit 63 secteurs par piste au maximum) - ici 1
Le cylindre est codé sur 10 bits (les deux bits de "poids fort" sont les bits 6 et 7 de l'octet précédent), soit entre 0 et 3ff (0 et 1023) - ici 0
L'octet suivant code le système de fichier de la partition, ici le 07 signifie ntfs (j'ai un dual boot avec Windows ), les autres valeurs couramment rencontrées sont :
05, 0f : étendue
0b : fat32
82 : Linux-swap
83 : ext2, ext3, ext4 - en bref appellation Linux
Le groupe des 3 octets suivants indique la fin de la partition dans le système "tête, secteur, cylindre" - ici les valeurs sont au maximum car la partition est plus grande que ce qu'autorise cet adressage archaïque.
Nous arrivons au plus intéressant car c'est ici que sont codés le début et la taille des partitions dans le système LBA (Logical block addressing).
Le premier groupe de 4 octets correspond à l'emplacement du début de la partition (en hexadécimal et en little endian) et la taille (même format).
Ainsi le groupe 3f 00 00 00 correspond à la valeur hexa 0x0000003f, soit 63 en décimal.
Et pour la taille on a d6 24 c2 03, soit la valeur hexa 0x03c224d6, soit 63055062 en décimal.
L'espace qui suit la partition est donc donné par :
début espace suivant = début partition + taille partition
Le nombre magique
C'est la "marque" d'un média amorçable, elle est donnée par la présence des deux derniers octets du mbr (aux adresses 1fe et 1ff, soit 510 et 511 en décimal) qui correspond à la valeur aa55.
Vous allez dire que ça ne va pas car c'est 55 et aa que vous avez. Mais je rappelle que les valeurs numériques sont codées sous la forme little endian et donc l'octet de poids faible 55 est placé avant l'octet de poids fort aa.
Exercice pratique
A partir du mbr analysé, retrouver le début et la fin des partitions principales
Pour que vous ne travailliez pas en vain, voici le résultat à obtenir, donné par un
sudo fdisk -lu
Disque /dev/sda: 160.0 Go, 160041885696 octets 255 têtes, 63 secteurs/piste, 19457 cylindres, total 312581808 secteurs Unités = secteurs de 1 * 512 = 512 octets Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Identifiant de disque : 0x525d525d Périphérique Amorce Début Fin Blocs Id Système /dev/sda1 * 63 63055124 31527531 7 HPFS/NTFS /dev/sda2 63055125 145404314 41174595 7 HPFS/NTFS /dev/sda3 145404315 176120594 15358140 83 Linux /dev/sda4 176120656 312576704 68228024+ 5 Etendue /dev/sda5 176120658 180426014 2152678+ 82 Linux swap / Solaris /dev/sda6 180426078 312576704 66075313+ 83 Linux
Problèmes connus
Il arrive parfois que la table des partitions soit corrompue pouvant empêcher tout redimensionnement. Ceci peut être la conséquence d'un virus de mbr, de l'utilisation d'un outil pour partitionner inadapté…
Un cas classique est le chevauchement des partitions, on aura par exemple sda1 qui se terminera dans la partition sda2 si ta taille indiquée de sda1 est trop grande.
Ces problèmes peuvent aussi affecter les partitions logiques et générer aussi un blocage.
Il arrive aussi que la taille indiquée d'une partition excède la taille du disque.