[WindowsNT]

1. "Защита" = "недопущение". Восстановление из образа — это ликвидация последствий заражения, а не предотвращение оного. В случае вирусной вспышки угроза продолжит распространение. Даже если образ поможет ликвидировать локальный очаг, то свою функцию вирус так или иначе выполнит, как минимум однажды успешно отработав на скомпрометированной системе.

2. Система живёт и развивается — ставятся обновления на операционку и программы, что-то заменяется, улучшается, настраивается. Образ же мёртв, откатываться на момент его создания очень быстро становится слишком неудобно. При попытке регулярно образ обновлять он тоже заражается вместе с поражённой системой, на которой не предпринимались меры защиты.

3. Если же меры защиты предпринимаются, то образ теряет смысл в качестве защитной меры. В качестве резервной копии настроек и данных — да, но не защиты.

4. Не следует держать авторов вирусов за дураков. Они не дураки. В первую очередь, они не заинтересованы в быстром и лёгком обнаружении своих творений. В какой момент вы решитесь восстановиться из образа, если внешне всё происходит нормально, троян тихонько крадёт пароли на почту и банк, ничем не выдавая своего присутствия? Что должно послужить спусковым механизмом восстановления? Ничего. Этот метод "защиты" просто не будет работать, ибо его не будут звать на помощь.

5. Если образ находится "онлайн", а не на отключенном съёмном носителе, его программная компрометация — не проблема вообще. Например, восстановление из System Restore в качестве меры устранения вирусного заражения не годится вообще. Авторы вирусов тоже знают, что такое System Restore и имеют все возможности по компрометации и этой части системы тоже.