Latente gegevens, ook bekend als ambient data, is de informatie in computeropslag waarnaar niet wordt verwezen in bestandstoewijzingstabellen en die over het algemeen niet zichtbaar is via het besturingssysteem (OS) of standaardtoepassingen.
Latente gegevens worden gevonden in de gecombineerde resterende informatie-inhoud op de computer van verwijderde bestanden in niet-toegewezen ruimte, wisselbestanden, printspoolerbestanden, geheugendumps, de vrije ruimte van bestaande bestanden en tijdelijke cache.
Latente gegevens worden gebruikt bij het herstellen van bestanden die verloren zijn gegaan door gebruikersfouten, onvoorziene programmaoperaties of kwaadaardige activiteiten zoals ransomware. Deze verborgen informatie wordt ook gebruikt bij forensisch computeronderzoek om bestanden terug te halen die zijn gewist. In beide gevallen is speciale software nodig.
Om te begrijpen hoe latente gegevens op een harde schijf blijven staan, is enige kennis nodig over hoe informatie wordt opgeslagen op computers met harde schijven. Dergelijke computers slaan gegevens magnetisch op via lees/schrijfkoppen in een verzegelde eenheid op een ronde, draaiende, metalen schijf of stapel schijven, platters genaamd. Elke platter bestaat uit logisch gedefinieerde secties die sectoren worden genoemd en verder zijn onderverdeeld in clusters.
De meeste OS-clusters zijn standaard geconfigureerd om niet meer dan 512 bytes aan gegevens te bevatten. Als een tekstbestand van 400 bytes op schijf wordt opgeslagen, heeft een cluster van 512 bytes 112 bytes extra ruimte over. Wanneer de harde schijf van de computer gloednieuw is, is de ruimte in een cluster die niet wordt gebruikt leeg, maar dat verandert met het gebruik. Wanneer een bestand wordt verwijderd, wist het besturingssysteem het bestand niet, maar maakt het alleen het cluster dat het bestand in beslag nam beschikbaar voor hertoewijzing. Wat werkelijk wordt verwijderd is een verwijzing naar het bestand in een record dat lijkt op een inhoudsopgave voor de harde schijf: de bestandstabel. Als een nieuw bestand van slechts 200 bytes aan de oorspronkelijke sector wordt toegewezen, bevat de vrije ruimte van het cluster nu 200 bytes, waarvan een deel restgegevens van het eerste bestand kunnen zijn naast de oorspronkelijke 112 bytes aan extra ruimte.
Die restgegevens in de vrije ruimte kunnen onderzoekers aanwijzingen geven over vroeger gebruik van de computer in kwestie, alsmede aanknopingspunten voor verder onderzoek. Er kunnen kleine bestanden beschikbaar zijn voor gegevensherstel, maar ook stukken van grotere bestanden die meerdere clusters beslaan. Dit geldt ook voor het wisselbestand dat een besturingssysteem gebruikt voor virtueel geheugen en dat over het algemeen alleen toegankelijk is voor het besturingssysteem.
Om latente gegevens van een computer terug te halen, mag de schijf waar de gegevens op staan niet worden gebruikt. In feite, als het de OS-schijf is, moet u zelfs voorkomen dat de computer wordt opgestart, omdat voor elk nieuw bestand of wijziging in een bestand, latente gegevens verloren kunnen gaan. Bij het opstarten van een computer worden bij de meeste besturingssystemen honderden bestanden gewijzigd. De tools van overheidsorganisaties kunnen naar verluidt zelfs sporen van overschreven bestanden lezen.