Hapi i parë në këtë fazë është të analizohet formati i skedarit ose zgjatja e tij. Disa skedarë të rrezikshëm mund të kenë zgjatje shtesë, siç është .pdf.zip, ose mund të mos kenë zgjatje fare. Disa zgjatje janë shpesh përdorur për skedarë të rrezikshëm. Megjithatë, prania e një zgjatje të tillë tregon që skedari mund të jetë i rrezikshëm, por jo domosdoshmërisht që është. Disa shembuj janë:

• .zip: Përdoret zakonisht për të kompresuar dhe arkivuar skedarë, funksionalitet që mund të shfrytëzohet për të maskuar softuer të rrezikshëm brenda skedarit.
• .exe: Tregon një program ekzekutiv dhe mund të përdoret për të instaluar malware.
• .bat: Përdoret për skripte të grupuara dhe mund të përmbajë komanda që ekzekutojnë malware.
• .vbs: Përdoret për skripte Visual Basic, të cilat mund të jenë të rrezikshme.
• .js: Zgjatja e njohur për skedarë JavaScript, të cilat mund të përmbajnë kod të rrezikshëm.
• .msi: Zgjatja për skedarët e Microsoft Installer, të cilat mund të përdoren për të instaluar malware.
• .scr: Përdoret për skedarët e shpërndarës, të cilat mund të maskohen si diçka tjetër por në fakt të përmbajnë kod të rrezikshëm.
• .dll: Zgjatja për libraritë dinamike, shpesh përdoret për sulme në lëndë të dobëta të softuerit.

Kur analizohen linket dhe bashkëngjitjet, duhet të ushtrohet kujdes për të shmangur klikime të rastësishme, dhe është thelbësore të përdoret softuer antivirus që zbulon dhe parandalon skedarë të rrezikshëm.