O Clamav age apenas como um vírus e não protege você contra rootkits. Na opinião da maioria das pessoas, os vírus não são uma ameaça tão grande no Linux, no entanto, todos nós podemos concordar que os rootkits são tão bons para se proteger contra eles.
Embora o rkhunter precise ser instalado em uma nova instalação antes que qualquer software ou atualização seja instalado, pois considera as alterações no sistema e presume que o sistema em que está instalado é seguro e compara-o ao sistema mais tarde, quando você faz uma varredura.
Então, se você já tem um rootkit e instala o rkhunter, ele não será capaz de dizer se você tem um ou não.
Outra opção é o OSSEC HIDS (Sistema de Detecção de Intrusão do Host - que não precisa ser instalado em uma nova instalação e será capaz de detectar um rootkit em um sistema, mesmo se ele for instalado após o rootkit (na maioria dos casos)), que pode detectar rootkits, bem como um maior número de atividades do sistema.