Espaço livre é o espaço restante que existe no disco rígido de um computador quando um arquivo de computador não precisa de todo o espaço que lhe foi alocado pelo sistema operacional. O exame do espaço livre é um aspecto importante da perícia do computador.
Para entender por que o espaço livre desempenha um papel importante na E-discovery, é preciso primeiro entender como os dados são armazenados em computadores que possuem unidades de disco rígido. Os computadores com unidades de disco rígido armazenam dados numa unidade selada que contém uma pilha de discos circulares e giratórios chamados pratos. Cada prato é composto por espaços logicamente definidos chamados sectores e, por predefinição, a maioria dos sectores do sistema operativo (SO) estão configurados para não conter mais do que 512 bytes de dados. Se um arquivo de texto de 400 bytes for salvo no disco, o setor terá 112 bytes de espaço extra sobrando. Quando o disco rígido do computador é novo, o espaço em um setor que não é usado - o espaço livre - fica em branco, mas que muda conforme o computador é usado.
Quando um arquivo é apagado, o sistema operacional não apaga o arquivo, ele simplesmente torna o setor o arquivo ocupado disponível para realocação. Caso um novo arquivo que seja apenas 200 bytes seja alocado ao setor original, o espaço livre do setor conterá agora 200 bytes de dados sobrando do primeiro arquivo, além dos 112 bytes originais de espaço extra. Esses dados restantes, que são chamados de dados latentes ou dados ambientais, podem fornecer aos investigadores pistas sobre os usos anteriores do computador em questão, bem como pistas para investigações adicionais. Em 2016, por exemplo, o Federal Bureau of Investigation (FBI) revelou que analisou milhões de fragmentos de e-mail que residiam no espaço vazio dos servidores pessoais da ex-secretária de Estado Hillary Clinton, a fim de determinar se os servidores armazenaram ou não informações classificadas indevidamente.
Tecnicamente, o espaço vazio de um arquivo é a diferença entre seu tamanho lógico e físico. O tamanho lógico de um arquivo é determinado pelo tamanho real do arquivo e é medido em bytes. O tamanho físico de um ficheiro é determinado pelo número de sectores que são atribuídos ao ficheiro. Na maioria dos sistemas operacionais, incluindo o Windows, os setores são agrupados em grupos de quatro por padrão, o que significa que cada cluster tem 2.048 bytes.
O tamanho lógico do arquivo azul abaixo é de 1280 bytes. A este arquivo foi alocado um cluster de quatro setores de 512 bytes, o que significa que o tamanho físico do arquivo é de 2.048 bytes. The difference between 2,048 and 1,280 is 768, which means that the blue file’s slack space is 768 bytes.