1.3.4.1. Ưu điểm
Phương pháp diệt mã độc theo chữ ký có ưu điểm là: - Tốc độ quét nhanh.
- Có thể phát hiện mã độc mà không cần thực thi do vậy mã độc không thực hiện được hành vi gây hại nào cho hệ thống.
- Tỷ lệ phát hiện dương tính giả (false positive) thấp.
1.3.4.2. Nhược điểm
Như nội dung được trình bày ở các mục trên thì phương pháp này có những nhược điểm như sau:
Thứ nhất là: phương pháp phát hiện mã độc dựa trên chữ ký chỉ có thể
phát hiện được những mã độc đã được biết đến mà không thể phát hiện được những mẫu mã độc chưa biết. Hiện nay, mỗi ngày có hàng nghìn mẫu mã độc mới được phát tán. Thật khó khăn, để có thể thu thập và phân tích được hết những mẫu mã độc mới này. Đặc biệt là những phần mềm gián điệp có sự lây lan rất ít, vì thế rất khó thu được mẫu để xây dựng chữ ký cho phần mềm gián điệp đó.
Thứ hai là: để xây dựng được chữ ký hình thức đòi hỏi phải có một quy
trình phân tích mã thủ công chặt chẽ và tốn thời gian. Sau khi tạo ra được chữ ký thì cần cập nhật cho người sử dụng một cách nhanh nhất để có thể bảo vệ hệ thống khỏi sự tấn công của mã độc đó. Tuy nhiên nhiều khi người sử dụng chậm chễ quá trình cập nhật chữ ký mới.
Thứ ba là: phương pháp phát hiện mã độc dựa trên chữ ký hình thức dễ
dàng bị đánh bại bởi các kỹ thuật gây rối. Mã độc sử dụng các phương pháp gây rối để tạo ra các biến thể mới liên tục, điều đó gây rất nhiều khó khăn cho việc phát hiện. Một ví dụ là mã độc Storm Worm[13], mấu mã độc này tạo ra rất nhiều biến thể mới, mối biến thể có số thời gian sống ngắn khác nhau để gây khó khăn cho việc xây dựng chư ký cho tất cả các biến thể đó.
Thứ tư là: sự gia tăng không ngừng kích thước cơ sở dữ liệu chữ ký, do
được cập nhật chữ ký mới thường xuyên. Như một giải pháp, chữ ký cũ thường xuyên bị loại bỏ. Vì thế, nó cũng gây ra những lỗ hổng nhất định.