Ho letto la definizione per entrambi e ho anche letto alcuni esempi per entrambi i casi. Non sono ancora molto sicuro di quale sia la differenza. La differenza è sfocata o ci sono delle caratteristiche specifiche che li distinguono l'uno dall'altro?
Un rootkit funziona modificando l'output delle azioni del sistema. Questo potrebbe essere sostituendo comandi standard come ls
con altri strumenti. Può anche essere modificando librerie o codice del kernel. I rootkit non sfruttano necessariamente un exploit, ma piuttosto l'utente. Possono fare affidamento su un altro exploit per metterli.
I virus del settore di avvio sono un sottoinsieme di rootkit, ma il termine è molto più vecchio. Si riferiva in modo specifico ai virus che si sarebbero modificati nel settore di avvio di un disco rigido per avviarsi al riavvio. Hanno una connotazione di harking dell'era in cui MS DOS era ancora una parte sostanziale del mondo del personal computing. Essendo da tempi più semplici, i virus erano spesso più semplici e non sempre avevano bisogno di eseguire il boot su un'altra istanza del sistema operativo da rilevare. Nonostante ciò, il loro avvio all'inizio del processo di avvio potrebbe fornire loro tutta la potenza potenziale che associamo ai rootkit.
Anche la differenza tecnica tra i termini è molto confusa. È possibile che il codice possa essere considerato solo un rootkit, solo un virus del settore di avvio o entrambi. Per quanto riguarda il discorso comune, penso che sia più comune riferirsi a virus moderni che si adattano alla definizione di entrambi come rootkit. Non riesco a pensare a nessun malware contemporaneo rilevante che sia considerato semplicemente un virus del settore di avvio.
Un virus del settore di avvio che viene eseguito dal settore di avvio e non si preoccupa di nascondersi è solo un virus del settore di avvio.
Un virus del settore di avvio che protegge attivamente la sua archiviazione nel settore di avvio, si nasconde dal rilevamento e intercetta attivamente le scansioni che tentano di rilevare la sua operazione è parte di un root-kit.
I virus Boot Sector sono presenti da quando Brain, il primo virus MS-DOS creato, è stato facilmente scansionato e rimosso.
Un virus del settore di avvio carica se stesso dal record di avvio, quindi esegue il settore di avvio reale, che viene salvato in qualche altra posizione sul disco. In realtà non si cura di nascondersi. Ci sono stati problemi se lo stesso virus del settore di avvio è venuto perché non ha verificato la presenza dell'istanza precedente, quindi ha sovrascritto il settore di avvio reale sul disco con l'istanza precedente di se stesso - quindi non è possibile avviare fino alla reinstallazione almeno dei file di sistema. Questo tipo di malware appartiene all'era DOS.
Un rootkit nasconde principalmente i processi, quindi può scaricare e installare altri malware, backdoor ecc.