Το πρώτο βήμα σε αυτή τη φάση είναι η ανάλυση της μορφής του αρχείου ή της επέκτασής του. Ορισμένα κακόβουλα αρχεία μπορεί να έχουν πρόσθετες επεκτάσεις, όπως .pdf.zip, ή μπορεί να μην έχουν καθόλου επέκταση. Ορισμένες επεκτάσεις χρησιμοποιούνται συχνά για κακόβουλα αρχεία. Ωστόσο, η παρουσία μιας τέτοιας επέκτασης υποδεικνύει ότι το αρχείο μπορεί να είναι επικίνδυνο, όχι απαραίτητα ότι είναι σίγουρα. Ακολουθούν ορισμένα παραδείγματα:

• .zip: Χρησιμοποιείται συνήθως για τη συμπίεση και αρχειοθέτηση αρχείων, λειτουργία που μπορεί να αξιοποιηθεί για την απόκρυψη κακόβουλου λογισμικού μέσα στο αρχείο.
• .exe: Υποδεικνύει ένα εκτελέσιμο πρόγραμμα και μπορεί να χρησιμοποιηθεί για την εγκατάσταση κακόβουλου λογισμικού.
• .bat: Χρησιμοποιείται για δέσμες σεναρίων και μπορεί να περιέχει εντολές που εκτελούν κακόβουλο λογισμικό.
• .vbs: Χρησιμοποιείται για δέσμες ενεργειών Visual Basic, οι οποίες μπορεί να είναι κακόβουλες.
• .js: Γνωστή επέκταση για αρχεία JavaScript, τα οποία μπορεί να περιέχουν κακόβουλο κώδικα.
• .msi: Επέκταση για αρχεία Microsoft Installer, τα οποία μπορούν να χρησιμοποιηθούν για την εγκατάσταση κακόβουλου λογισμικού.
• .scr: Χρησιμοποιείται για αρχεία προφύλαξης οθόνης, τα οποία μπορεί να μεταμφιεστούν ως κάτι άλλο, αλλά στην πραγματικότητα περιέχουν κακόβουλο κώδικα.
• .dll: Επέκταση για δυναμικές βιβλιοθήκες, που χρησιμοποιούνται συχνά για επιθέσεις σε ευπάθειες λογισμικού.

Κατά την ανάλυση των συνδέσμων και των συνημμένων αρχείων, θα πρέπει να δίνεται προσοχή για την αποφυγή τυχαίων κλικ, ενώ είναι απαραίτητο να χρησιμοποιείται λογισμικό προστασίας από ιούς που ανιχνεύει και αποτρέπει τα κακόβουλα αρχεία.