Dados latentes, também conhecidos como dados ambientais, são as informações no armazenamento do computador que não são referenciadas em tabelas de alocação de arquivos e geralmente não são visualizáveis através do sistema operacional (SO) ou aplicações padrão.
Dados latentes são encontrados no conteúdo combinado de informações remanescentes no computador de arquivos excluídos em espaço não alocado, arquivos swap, arquivos spooler de impressão, despejos de memória, o espaço livre de arquivos existentes e cache temporário.
>br>Dados latentes são usados na recuperação de arquivos perdidos devido a erros do usuário, operações imprevistas do programa ou atividades maliciosas, tais como ransomware. Esta informação oculta também é usada na perícia do computador para recuperar arquivos que foram excluídos. Em ambos os casos, é necessário um software especial.
Compreender como os dados latentes permanecem em um disco rígido requer algum conhecimento sobre como as informações são armazenadas em computadores que possuem unidades de disco rígido. Tais computadores armazenam dados magneticamente através de cabeças de leitura/escrita numa unidade selada num disco circular, giratório, metálico ou numa pilha de discos chamados pratos. Cada prato é composto de seções logicamente definidas chamadas setores e divididas em clusters.
Por padrão, a maioria dos clusters de SO são configurados para não conter mais do que 512 bytes de dados. Se um arquivo de texto de 400 bytes for salvo no disco, um cluster de 512 bytes terá 112 bytes de espaço extra sobrando. Quando o disco rígido do computador é novo, o espaço em um cluster que não é usado fica em branco, mas que muda com o uso. Quando um arquivo é apagado, o sistema operacional não apaga o arquivo, mas apenas torna o cluster o arquivo ocupado disponível para realocação. O que é realmente apagado é uma referência ao ficheiro num registo semelhante a uma tabela de conteúdos para o disco rígido: a tabela de ficheiros. Se um novo arquivo que é apenas 200 bytes for alocado ao setor original, o espaço livre do cluster conterá agora 200 bytes, alguns dos quais podem ser dados restantes do primeiro arquivo, além dos 112 bytes originais de espaço extra.
Que os dados restantes no espaço livre podem fornecer aos investigadores pistas sobre os usos anteriores do computador em questão, bem como pistas para investigações adicionais. Ele pode ter pequenos arquivos disponíveis para recuperação de dados, bem como pedaços de arquivos maiores que abrangem vários clusters. Isto também é verdade para o arquivo swap que um sistema operacional usa para memória virtual que geralmente só é acessível ao SO.
Para recuperar dados latentes de um computador, a unidade em que ele está não deve ser usada. Na verdade, se for o drive do SO, você deve evitar até mesmo inicializar o computador, porque para cada novo arquivo ou mudança para um arquivo, os dados latentes podem ser perdidos. No simples acto de arrancar um computador, com a maioria dos sistemas operativos, centenas de ficheiros são alterados. Diz-se que as ferramentas das organizações governamentais são capazes de ler até mesmo traços de arquivos sobrescritos.