Bei meinem SUSE-System kann ich so jederzeit aus einem vorhergehenden Snapshot booten und diesen wiederherstellen, wenn das System (oder ich 😀 ) Mist gebaut haben.
Da würde mich dann mal interessieren, ob so ein Schnappschuss auch die von einem Trojaner verschlüsselten Daten wieder entschlüsseln könnte.
Da der Snapshot ganz normal auf der Platte liegt wird dieser mitverschlüsselt, ausser man sichert das Ganze nochmals extern und trennt dann diese Platte immer! Selbst Partitionen die nicht gemountet sind → verschlüsselt.
Soweit ich verstanden habe, erfolgt die Verschlüsselung ja Dateiweise, und zwar ausgewählte Dateien, mit für den Anwender nützlichem Dateninhalt wie Bilder, Musik, Texte… Programmbibliotheken und Programme bleiben aber unangetastet, das sonst das System nicht mehr starten würde - wodurch der normale Nutzer außerstande wäre, die Daten wieder zu entschlüsseln, selbst wenn er den Schlüssel erhält.
Insofern würde ich nicht per se davon ausgehen, dass die Schnappschüsse ebenfalls verschlüsselt sind. Meine Frage zielte auch eher darauf ab, ob ein Schnappschuss genügend Informationen enthält, um die Datei in ihrem Ursprungszustand wieder herzustellen, oder ob er lediglich die protokollierten Veränderungen enthält - wie die Rückgängig-Funktion eines Texteditors.
Aber da das ganze jetzt doch ziemlich vom Thema abkommt, werde ich mal um eine Splittung des Beitrags bitten.