Kann man nie zu 100% wissen, aber wenn das zeitliche Verhalten, die Speicher und Prozesstabellen und der externe gemessene Netzwerkverkehr unauffällig ist, hat man schon mal viel gewonnen. Da ich auf meinem System auch entwickle, fallen mir öfters Unstimmigkeiten auf. Bisher waren es dann immer Fehler im Betriebssystem oder einfach ein unerwartetes Verhalten. Gerade das zeitliche Systemverhalten ist oft wertvoll, da man damit sogar Unstimmigkeiten im SMM Handler oder im Secure Mode findet, die sich einer normalen Analyse gerne mal entziehen. Wenn da plötzlich ein paar us fehlen, wird es spannend. Externe Uhren und Messgeräte lassen sich nun mal schlecht überlisten.

Richtig gemein sind allerdings die neueren Entwicklungen mit eigener Rechenkapazität. Die können bis zu einem auslösenden Ereignis das gesammte System überwachen und so bis zur Aktivierung komplett unbemerkt bleiben. Die Schadsoftware kommt in diesem Fall aber (bewusst oder unbewusst) vom (bzw. über den) Hersteller und nicht vom bösen Hacker.