Esta página parece sugerir que o ntfs-3g não cria VSS As cópias de sombra (Serviço de Sombra de Volume) como um método forense particular que funcionaria em um volume NTFS nativo do Vista / Win7 não seriam possíveis em um volume criado em qualquer um dos clones NTFS de código-fonte aberto:
Important: Currently, you can only examine shadow copy volumes if you have the original device the shadow copy volumes are on. You cannot examine or recover shadow copy volumes from a disk image file mounted on your workstation via ntfs-3g, Encase, vdk, or mount image pro.However, you can examine a volume image duplicated from the Shadow Copy Volume. More on this shortly...
Isso não exclui que o ntfs-3g consiga entender as cópias de sombra, mas se elas não forem criadas para começar, isso parece implicar que a funcionalidade para entendê-las não é implementada.
As cópias de sombra de volume são realmente armazenadas em arquivos NTFS "completos", mantidos em C:\System Volume Information
e, sempre que os dados são sobrescritos, parece que eles são mesclados nesses arquivos pelo serviço de volume de sombra.
Assim, parece possível que o ntfs-3g possa gravar na unidade e não estar sobrescrevendo (e invalidando) as Cópias de Sombra, pois as gravações simplesmente não seriam capturadas e armazenadas por cópias de sombra.
Também é possível que qualquer gravação com ntfs-3g invalide completamente o armazenamento do VSS e, portanto, destrua completamente todos os pontos de restauração do sistema.
Eu honestamente não consigo encontrar qualquer coisa em NTFS-3g que suporte a restauração do sistema ou cópias de sombra, além de algumas vagas, " é possível? " tópicos da lista de discussão ...