Depende da quantidade de falsificação que você está disposto a fazer.
Vamos usar o formato 1 por um momento. É uma lista apenas dos diretórios no tarball.
Os campos relevantes para cada entrada no tarball da lista são: mtime (segundos + nsecs), dispositivo, inode.
Em passadas incrementais posteriores, se os campos dispositivo / inode não corresponderem mais ou se o mtime tiver sido movido para trás, TODOS os arquivos no diretório serão adicionados ao tarball incremental. Se o dispositivo / inode corresponder e o mtime for igual ou maior, ele coletará todos os novos arquivos maiores ou iguais ao mtime (a parte igual a para importa para sistemas de arquivos com baixa resolução de tempo, caso contrário, arquivos podem ser ignorados).
O formato 2 estendeu isso através do formato Dumpdir, o que complica, principalmente adicionando casos em que os arquivos não são salvos em backup como eles vieram com um antigo mtime.
Então, dado um tarball, é possível recriar um arquivo de instantâneo? Sim, mas é confuso e você provavelmente perderá alguns arquivos. Existe --no-check-device que pula a verificação do dispositivo, mas o diretório inodes é o maior risco.