Lorsque le MBR (Master Boot Record), c'est à dire le premier secteur d'un disque dur, celui qui contient la table des partitions, est détruit, il est impossible d'accéder aux partitions, ce qui signifie que, dans le cas d'un disque où est installé le système d'exploitation, l'ordinateur ne peut plus démarrer et, pour la plupart des gens, que toutes les données sont perdues. C'est pourquoi un certain nombre de virus prennent ce secteur pour cible. Néanmoins, si vous connaissez le positionnement exact des partitions (par exemple si vous aviez noté les secteurs de début et de fin de chacune lors du partitionnement du disque), vous pouvez alors, comme indiqué précédemment, faire des fichiers images que vous pourrez monter via le loopback device et vous pourrez alors récupérer vos données.

Pour empêcher cela, il arrive fréquemment que des virus écrasent également les secteurs de boot des partitions (le premier secteur de chaque partition). Dans ce cas, il faut savoir qu'il est fréquent de trouver éparpillées sur un disque des sauvegardes des dits secteurs de boot ainsi que du MBR, ces sauvegardes pouvant être faites par le système de fichiers, par le système d'exploitation ou par des utilitaires systèmes. Si vous parvenez à identifier les endroits où se trouvent ces copies vous pourrez alors restaurer les secteurs de boot des partitions et le MBR, qui sont souvent, dans le cas d'attaque virale, les seuls endommagés (Note: lorsque nous parlons d'attaque virale, nous faisons implicitement référence aux systèmes d'exploitation de Microsoft, les autres y étant peu sensibles. Autrement dit, cette technique a peu de chance de marcher si le disque endommagé n'est pas celui d'une machine Windows (TM)...).

"Comment retrouver ces sauvegardes?" me demanderez-vous. Eh bien pour cela il faut une certaine connaissance du type de partition que vous recherchez. Par exemple, le secteur de boot d'une partition FAT32 de Windows 98, après 3 octets qui ne nous intéressent pas ici (ils sont importants, mais ne sont guère utiles pour la recherche des sauvegardes) contient la chaine "MSWIN4.1". Vous pouvez donc rechercher cette chaîne avec, par exemple LDE, sachant qu'un tel secteur de boot se termine par les deux octets AA55h, ce qui est d'ailleurs aussi le cas du MBR. Une sauvegarde du MBR, si elle existe, a un certain nombre de chances de se trouver près de celle des secteurs de boot des partitions... Regardez donc à côté si vous trouvez une telle sauvegarde! Pour l'identifier, il est en général possible de reconnaître les 128 octets isolés près de la fin qui constituent la fameuse table des partitions. Je vous conseille, avant de vous lancer dans cette recherche, de voir ce que vous pourrez trouver sur le type de partition qui vous intéresse et sur les MBR dans votre moteur de recherche favori.

Une méthode alternative est d'utiliser gpart pour essayer de retrouver l'emplacement des partitions.