"Format" est juste un moyen de préparer un périphérique de stockage en configurant des portions de celui-ci pour contenir des choses similaires à la table des matières. Dans ce cas, il écrit certaines portions définies dans la spécification NTFS de sorte que le lecteur puisse être utilisé par le pilote NTFS.
Les données réelles déjà présentes sur le lecteur sont pour la plupart laissées telles quelles. Rien ne pointe plus vers elle, donc difficile de savoir où commence et s'arrête ce qui. En général, après avoir fait un formatage, la plupart des gens auraient du mal à trouver une partie du contenu original. Même avec des outils spécialisés, il se peut que l'on ne trouve que des parties de fichiers originaux avec beaucoup de corruption qui prévaut car des parties de ces fichiers ont été écrasées par de nouvelles choses.
En l'état cette commande de formatage ferait un formatage complet. À la fois faire la table de contenu de la racine, ainsi que de préparer des choses comme l'espace MFT pour le volume NTFS. Il y a deux options dans cette commande qui font les choses un peu différemment :
- L'option /Q est un formatage rapide, et écrit le minimum absolu requis pour préparer le disque. Cela laisserait les données existantes sous forme de bits bruts sur le disque autant que possible tout en faisant apparaître le disque comme un nouveau disque vierge. C'est aussi (comme son nom l'indique) la façon la plus rapide de préparer le disque - en ne faisant presque rien.
- L'option /P écrase chaque dernier bit du disque (ou de la partition) avec un 0. Vous pouvez même indiquer combien de fois il le fait, comme /P4 écrira chaque bit 4 fois avec un 0. Cela rendrait pratiquement impossible pour quiconque de jamais récupérer même de petites parties de fichiers de ce disque. Peut-être que quelqu'un, comme une agence gouvernementale, pourrait utiliser une analyse statistique pour déterminer ce qui se trouvait auparavant sur chaque bit en trouvant le degré de changement de polarité magnétique sur chaque bit, mais même dans ce cas, il faut s'attendre à des quantités extrêmes d'incohérence. À ce stade, je dirais que les données ont disparu, si ce n'est à 100%, elles sont effectivement irrécupérables pour quiconque utilise une sorte d'outil.
Si vous souhaitez être doublement sûr, alors utilisez un outil tel que DBAN. Il fait essentiellement ce que fait ce commutateur /P, sauf qu'au lieu de 0s, il écrit des cochonneries aléatoires sur l'ensemble du disque plusieurs fois, de sorte que même l'idée d'analyse statistique n'a aucun espoir de récupérer une petite partie de n'importe quel fichier.
Pour le format normal "complet", et surtout le format rapide /Q, il existe de nombreux outils qui peuvent lire les bits bruts d'un disque et ignorer la table des matières. Certains d'entre eux tentent alors de trouver des modèles pour trouver des choses comme les dossiers table de contenu pour reconstruire les pointeurs vers les fichiers originaux. Ceci pourrait à son tour reproduire les fichiers de l'original tant que rien n'a encore écrasé ces endroits. Mais attention, une telle récupération est un peu aléatoire, certains fichiers peuvent être entièrement récupérables, d'autres seulement partiellement, et d'autres pas du tout. Tout dépend de l'endroit où se trouvait l'original et des nouvelles choses qui ont été écrites à quels endroits.