Diese Seite scheint darauf hinzudeuten, dass ntfs-3g keine VSS-Schattenkopien (Volume Shadow Service) erstellt. Eine bestimmte forensische Methode, die auf einem nativen Vista / Win7-NTFS-Volume funktionieren würde, wäre auf einem Volume, das in einem der geöffneten Volumes erstellt wurde, nicht möglich. Quell-NTFS-Klone:
Wichtig: Derzeit können Sie Schattenkopie-Volumes nur untersuchen, wenn Sie über das Originalgerät verfügen, auf dem sich die Schattenkopien-Volumes befinden. Sie können Schattenkopiedatenträger nicht über ntfs-3g, Encase, vdk oder mount image pro von einer auf Ihrer Workstation gemounteten Disk-Image-Datei untersuchen oder wiederherstellen. Sie können jedoch ein vom Shadow-Copy-Volume dupliziertes Volume-Image untersuchen. Mehr dazu in Kürze ...
Dies schließt nicht aus, dass ntfs-3g Schattenkopien verstehen kann, aber wenn sie nicht von Anfang an erstellt werden, scheint dies zu implizieren, dass die Funktionalität, sie überhaupt zu verstehen, nicht implementiert ist.
Volume-Schattenkopien befinden sich tatsächlich in richtigen "vollwertigen" NTFS-Dateien, die in den Dateien gespeichert werden. C:\System Volume InformationWenn Daten überschrieben werden, scheint es, als würden sie vom Shadow-Volume-Dienst in diese Dateien eingefügt.
Es scheint also möglich, dass ntfs-3g auf die Festplatte schreibt und die Schattenkopien nicht wirklich überschreibt (und damit ungültig macht). Die Schreibvorgänge würden einfach nicht von Schattenkopien erfasst und gespeichert.
Es ist auch möglich, dass alle Schreibvorgänge mit ntfs-3g den VSS-Speicher vollständig ungültig machen und daher alle Ihre Systemwiederherstellungspunkte vollständig löschen.
Ich kann ehrlich gesagt nichts über die Wiederherstellung des NTFS-3g-Systems oder über Schattenkopien finden, die an einigen vagen Stellen "Ist es möglich?" Mailinglisten-Threads ...