> Tech > Exploits de la récupération

Exploits de la récupération

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

La CR est extrêmement pratique lorsque Windows 2000 ne s'initialise pas et qu'il faut accéder rapidement au système de fichiers pour diagnostiquer et réparer le problème. En donnant l'accès direct au système de fichiers et à  de nombreuses commandes et utilitaires peu onéreux, la CR permet d'effectuer un certain nombre

d’exploits de récupération étonnants. Elle simplifie beaucoup de procédures de
reprise NT.

Bien que la plupart des utilisateurs espèrent ne jamais avoir besoin de l’utiliser,
la CR est un outil important à  bien comprendre. Il est également essentiel d’identifier
les causes probables des problèmes de démarrage des systèmes avant qu’ils n’aient
lieu et de connaître les mesures à  prendre pour les corriger. J’ai donc composé
une liste des causes liées aux logiciels les plus communes, des défaillances de
démarrage de Windows 2000 et Windows NT, à  partir de mes expériences des systèmes
Windows 2000 et NT :

* altération ou suppression d’un fichier système crucial (par exemple les fichiers
ruches du Registre ntoskrnl.exe, ntdetect.com, hal.dll, boot.ini);

* installation d’un service ou d’un pilote incompatible ou défectueux, ou altération
ou suppression d’un service ou d’un pilote crucial;

* endommagement ou altération d’un disque ou d’un système de fichier, y compris
l’endommagement de structures de répertoires, du MBR (Master Boot Record) et du
secteur d’initialisation Windows 2000 ou NT;

* données du Registre incorrectes (par exemple Registre physiquement intact, mais
contenant des données logiquement erronées, comme, par exemple, des données hors
limites dans une valeur du Registre liée à  un service ou un pilote).

* permissions incorrectes ou trop restrictives sur le dossier \%systemroot% (par
exemple C:\winnt).

Cette liste n’est certes pas exhaustive, mais elle couvre la majorité des cas
de défaillances au démarrage de Windows 2000 et NT 4.0. La majorité de ces problèmes
peut être réglée par la CR ou un démarrage en Mode sécurisé. Le Tableau 1 énumère
les problèmes de démarrage des systèmes les plus communs et les méthodes recommandées
pour les résoudre dans Windows 2000.

Pour démontrer l’utilité potentielle de la CR dans ces cas, imaginons un scénario
dans lequel un ou plusieurs fichiers ruches du Registre sont altérés sur un ordinateur
utilisant un volume système formaté en NTFS. Dans mes articles précédents sur
la reprise après incident au démarrage, j’ai parlé de plusieurs autres méthodes
pour traiter ce type de situation dans NT. Par exemple la copie d’un ensemble
de fichiers ruches du Registre notoirement bon au moyen d’un utilitaire d’éditeur
tiers (comme ERD Commander pour NT 4.0) permettant l’accès en écriture aux volumes
NTFS, ou bien l’utilisation d’une installation parallèle de Windows 2000 ou NT.
(On peut également faire appel au processus Réparation de l’installation de Windows
2000, bien qu’il n’offre pas la flexibilité des autres méthodes).
Dans Windows 2000, il est facile de booter dans une console CR et de copier et
remplacer les fichiers ruches du Registre (ou d’autres fichiers systèmes cruciaux)
altérés ou écrasés. Dans mon scénario, il suffirait de se connecter à  l’installation
Windows 2000 souhaitée et d’utiliser la commande Copy de la CR pour copier les
fichiers nécessaires.

La CR peut également être utilisée pour résoudre les problèmes provoqués par l’altération
de disques ou de systèmes de fichiers de base. Elle possède plusieurs commandes
permettant de réparer un disque endommagé en dehors de Windows 2000, comme, par
exemple, la commande Chkdsk, semblable à  celle de Win9x ou DOS du même nom. Fixmbr
et Fixboot sont deux autres commandes utiles pour la réparation de disques endommagés.
Tout comme la commande Fdisk /mbr de Win9x, la fonction Fixmbr remplace le MBR
du disque système primaire par une copie propre, permettant ainsi de résoudre
les problèmes posés par un MBR altéré ou infecté par un virus.

Tout aussi utile, la commande Fixboot permet de réparer le secteur d’initialisation
de Windows 2000 s’il est endommagé ou écrasé au cours de l’installation d’un autre
système d’exploitation (avec pour conséquence la perte du Chargeur d’initialisation
Windows 2000 au démarrage). Autre superbe atout de la CR, Diskpart est un utilitaire
de gestion de disque comme celui du Setup Windows 2000, pouvant effectuer des
tâches basiques comme l’ajout et la suppression de partitions.
La console CR comprend plusieurs autres commandes potentiellement utiles. Par
exemple, Listsvc, Disable et Enable permettent (respectivement) de lister, désactiver
et activer des services et des pilotes de systèmes. Ces commandes sont très précieuses
si un problème de démarrage d’un système est provoqué par un service ou un pilote
défectueux. La session CR permet de désactiver le service ou le pilote responsable,
puis de rebooter le système sans obligation d’éditer ou de restaurer le Registre.

Puisqu’elle expose à  la fois les dossiers d’installation de Windows 2000 et NT
sur les systèmes à  double boot, la CR pourrait s’avérer utile comme outil de récupération
pour les installations NT défaillantes. Plusieurs articles de Microsoft déconseillent
cette utilisation, mais sans explications pour justifier cet avertissement. Personnellement
j’ai utilisé la CR pour exécuter diverses commandes sur les installations NT 4.0
sans rencontrer le moindre problème. La plupart des commandes de la CR sont liées
aux systèmes de fichiers et fonctionnent donc bien sur un volume NTFS5 partagé
entre Windows 2000 et NT. (Il faut installer le SP4 ou une version ultérieure
sur NT pour supporter NTFS5).

Mais si vous utilisez la CR Windows 2000 pour récupérer une installation NT, vous
serez livrés à  vous-même, sans appui de Microsoft. Pour en savoir plus sur les
commandes et la syntaxe de la CR, voir l’article  » Les commandes clés de la console
de reprise  » de ce numéro.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010