Yo diría que el mayor riesgo práctico sería que se configurara una opción para "guardar mi contraseña", "recordar mi", etc. Si esto se hiciera sin FDE, un atacante podría simplemente (con acceso físico) cambiar la contraseña de la cuenta con la clave de cifrado almacenada.
Cualquier programa que se ejecute en el sistema con suficientes privilegios podría tomar lo que quiera, independientemente del FDE (por ejemplo, un keylogger solo esperaría hasta que ingresara la clave de cifrado / pw)
Las aplicaciones que se ejecutan sin suficientes privilegios no deberían poder leer la memoria fuera de sus propios procesos, pero esto se basa en que el sistema operativo y el sandboxing no sean explotables. Además, los datos descifrados temporalmente no deben almacenarse en ningún lugar donde otra persona pueda acceder a ellos (generalmente permanece en la memoria). Pero eso dependería de cómo se escribió el software de encriptación (use software de terceros).
FDE está diseñado para detener los ataques sin conexión (alguien saca su HDD de la máquina). Si está preocupado por las aplicaciones que se ejecutan en su sistema, ese no es un sistema que debería usar, o al menos no usar para manejar datos confidenciales.