La diferencia principal que un disco de arranque le brinda es la capacidad de escanear las aplicaciones a través de un sistema de "buen conocido", en lugar de un sistema de archivos potencialmente rootkit, que puede ocultar cualquier / todos los malware de un escáner.
El problema básico es que si el malware ha comprometido su sistema, podría configurarse para devolver cualquier cosa que el autor desee cuando se ejecute un análisis de un archivo, para que parezca que el sistema está limpio.
Al arrancar desde un CD u otro material de solo lectura, siempre que tenga un disco de arranque limpio, no podrá verse afectado por el malware y debe dar los resultados correctos. El supuesto aquí es que tienes una descarga limpia.
Aparte de eso, el uso es el mismo que el de una versión que se ejecuta en el sistema operativo normal: busca patrones conocidos o código que cumple con ciertos indicadores sospechosos.