I dati latenti, noti anche come dati ambientali, sono le informazioni nella memoria del computer a cui non si fa riferimento nelle tabelle di allocazione dei file e generalmente non sono visualizzabili tramite il sistema operativo (OS) o le applicazioni standard.
I dati latenti si trovano nel contenuto di informazioni rimanenti combinate sul computer da file eliminati nello spazio non allocato, file di scambio, file di spooler di stampa, dump della memoria, spazio di flessibilità dei file esistenti e cache temporanea.
I dati latenti vengono utilizzati nel recupero dei file persi a causa di errori dell'utente, operazioni impreviste del programma o attività dannose come il ransomware. Queste informazioni nascoste vengono utilizzate anche in informatica forense per recuperare i file che sono stati eliminati. In entrambi i casi, è richiesto un software speciale.
La comprensione del modo in cui i dati latenti rimangono su un disco rigido richiede una certa conoscenza del modo in cui le informazioni vengono archiviate sui computer che dispongono di unità disco rigido. Tali computer memorizzano i dati magneticamente attraverso testine di lettura / scrittura in un'unità sigillata su un disco circolare, rotante, metallico o una pila di dischi chiamati piatti. Ogni piatto è composto da sezioni definite logicamente chiamate settori e ulteriormente suddivise in gruppi.
Per impostazione predefinita, la maggior parte dei cluster del sistema operativo è configurata per contenere non più di 512 byte di dati. Se un file di testo di 400 byte viene salvato su disco, un cluster da 512 byte disporrà di 112 byte di spazio aggiuntivo rimanente. Quando il disco rigido del computer è nuovo di zecca, lo spazio in un cluster che non viene utilizzato è vuoto, ma cambia con l'uso. Quando un file viene eliminato, il sistema operativo non cancella il file ma rende disponibile per la riallocazione il cluster, il file occupato. Ciò che viene effettivamente eliminato è un riferimento al file in un record simile a un sommario per il disco rigido: la tabella dei file. Se un nuovo file di soli 200 byte viene allocato al settore originale, lo spazio di flessibilità del cluster conterrà ora 200 byte, alcuni dei quali potrebbero essere dati rimanenti dal primo file oltre ai 112 byte originali di spazio extra.
I dati rimanenti nello spazio libero possono fornire agli investigatori indizi sugli usi precedenti del computer in questione, nonché indizi per ulteriori indagini. Potrebbe avere piccoli file disponibili per il recupero dei dati così come pezzi di file più grandi che si estendono su più cluster. Questo vale anche per il file di scambio utilizzato da un sistema operativo per la memoria virtuale che in genere è accessibile solo al sistema operativo.
Per recuperare i dati latenti da un computer, l'unità su cui si trova non deve essere utilizzata. Infatti, se è l'unità del sistema operativo, dovresti evitare anche di avviare il computer, perché per ogni nuovo file o modifica a un file, i dati latenti possono essere persi. Nel semplice atto di avviare un computer, con la maggior parte dei sistemi operativi vengono modificati centinaia di file. Si dice che gli strumenti delle organizzazioni governative siano in grado di leggere anche tracce di file sovrascritti.