В явном виде вряд ли получится. Скорее по косвенным признакам в некоторых случаях: метки времени с более поздним временем, чем текущее могут говорить о возможном переводе. Посмотрите еще в книгах по Forensics, там могут обсуждать этот вопрос.
Ровно один вопрос: зачем вам с зараженной машины исполняемые файлы? Остальные типы файлов угрозы в подавляющем большинстве случаев не несут. Поэтому LiveCD, слитие нужной инфы, PROFIT