He leído la definición para ambos y también he leído algunos ejemplos para ambos casos. Todavía no estoy muy seguro de cuál es la diferencia. ¿La diferencia es borrosa o hay algunas características específicas que las diferencian entre sí?
Un rootkit funciona cambiando la salida de las acciones del sistema. Esto podría ser reemplazando comandos estándar como ls con otras herramientas. También puede ser mediante la modificación de bibliotecas o código del kernel. Los rootkits no necesariamente aprovechan un exploit, sino el usuario. Pueden confiar en otro exploit para colocarlos.
Los virus del sector de arranque son un subconjunto de rootkits, pero el término es mucho más antiguo. Se refería específicamente a los virus que alterarían el sector de arranque de un disco duro para lanzarse al reiniciarse. Tienen una connotación de alejarse de la época en que MS DOS aún era una parte sustancial del mundo de la computación personal. A partir de tiempos más simples, los virus a menudo eran más simples y no siempre necesitaban iniciarse en otra instancia del sistema operativo para detectarlos. A pesar de eso, su lanzamiento temprano en el proceso de arranque podría proporcionarles toda la potencia potencial que asociamos con los rootkits.
Incluso la diferencia técnica entre los términos es muy confusa. Es posible que el código se considere solo como un rootkit, solo un virus del sector de arranque, o ambos. En lo que respecta al discurso común, creo que es más común referirse a virus modernos que se ajustan a la definición de ambos como rootkits. No puedo pensar en ningún malware contemporáneo notable que se considere simplemente como un virus del sector de arranque.
Un virus del sector de arranque que se ejecuta desde el sector de arranque y no se molesta en ocultarse es solo un virus del sector de arranque.
Un virus del sector de inicio que protege activamente su almacenamiento en el sector de inicio, se oculta a sí mismo de la detección e intercepta activamente los análisis que intentan detectar su funcionamiento es parte de un kit raíz.
Los virus del sector de arranque han existido desde Brain, el primer virus de MS-DOS creado, y se escanearon y eliminaron fácilmente.
Un virus del sector de inicio se carga a sí mismo desde el registro de inicio y luego ejecuta el sector de inicio real, que se guarda en otra parte del disco. Realmente no se ocupa de esconderse. Hubo problemas si el mismo virus del sector de inicio vino porque no comprobó la presencia de la instancia anterior, por lo que sobrescribió el sector de inicio real en el disco con una instancia previa de él mismo, por lo que no es posible el inicio hasta que se reinstalen al menos los archivos del sistema. Este tipo de malware pertenece a la era DOS.
Un rootkit oculta principalmente procesos, por lo que podría descargar e instalar otros malwares, puertas traseras, etc.