Als Beispiel:
Unter Windows kann ich zum Beispiel Dateisignaturen überprüfen lassen. Alles was valide von Microsoft signiert ist, kann ich bei einer Malwareprüfung schon mal im Prinzip als infiziert ausschließen.
Ist eine Datei nicht mehr valide signiert, erhalte ich aus der Rückmeldung der API bereits Hinweise darauf, warum das so ist und erhalte also da schon Hinweise auf Malwarebefall.
Unter Linux sehe ich im Augenblick solche Möglichkeiten nicht (ich habe mich aber auch noch nicht großartig damit beschäftigt.
Gibt es solche Möglichkeiten nicht, hat man bei einer wirklichen Malwareanalyse eine Flut an Daten und keine richtige Möglichkeit, Sachen des Betriebssystems auszuschließen.
Hat man keine Möglichkeit, etwas sicher auszuschließen, kann sich Malware im Prinzip überall versteckt halten - in jedem regulären Prozess.