保護対象のデータに変更が発生した場合に、VSS がどこまでの範囲をスナップショットとして保存するかですが、（元ネタ失念）16KB（16,384バイト）の範囲をシャドウファイル内に保存するみたいですね。
例えば、コアラのJPEG画像ファイルの先頭部分はバイナリで以下のパターンになっています。

FFD8FFE000104A464946000102010060 ......JFIF.....`
00600000FFEE000E41646F6265006400 .`......Adobe.d.
00000001FFE114234578696600004D4D .......#Exif..MM

これを例えば以下のように変更してみます。

FFD8FFE000104A464946000102010060 ......JFIF.....`
00600000FFEE000E42646F6265006400 .`......Bdobe.d.
00000001FFE114234578696600004D4D .......#Exif..MM

すると、シャドウコピーファイル内には、この文字列を含むセクタを含めた前後の16kb分のデータが保存される形になります。上記では A を B に変更していますが、データの保存範囲は変更バイト位置からではなく、該当データが存在するセクタの先頭からではないかと推測されます。上記のケースでは、セクタ先頭にある \xFF\D8\xFF から前のセクタに存在するデータ 4096バイト分（このボリュームでは1クラスタ分）が保存範囲に含まれ、残りは、このデータを含むセクタを含めた12,288バイト分の合計16kb 分が保存されています。
前後の保存範囲についてはもう少しテストしてみる必要がありそうですが、フォレンジック調査的には、ある意味スラック的なデータも確認が可能になるのかもしれませんね。