Isso se resume a onde você está executando o monitoramento da rede e o quão baixo é o malware.
A maioria dos malwares que você vê (da minha experiência) não é de nível baixo o suficiente para reescrever pilhas de rede onde as ferramentas de monitoramento local não veriam o tráfego. Isso pode acontecer, então sempre há uma mudança do tráfego que passa cegamente. Você está entrando mais em rootkits e coisas assim, não em seu malware cotidiano quando isso acontece.
Se você executar o monitoramento de rede no gateway / roteador, verá o tráfego da máquina, agora importa quão baixo é o malware. Isso mostrará todo o tráfego proveniente de um host, se estiver no gateway, independentemente de como o tráfego esteja disfarçado.