Првиот чекор во оваа фаза е да се анализира форматот на датотеката или нејзината наставка. Некои злонамерни датотеки може да имаат дополнителни наставки, како што се .pdf.zip, или воопшто да немаат наставка. Одредени наставки честопати се користат за злонамерни датотеки. Присуството на таква наставка укажува на тоа дека датотеката може да биде опасна, но не мора да значи дека таа и навистина е опасна. Еве неколку примери:

• .zip: вообичаено се користи за компримирање и архивирање на датотеки и е функционалност што може да се искористи за маскирање на злонамерен софтвер во рамките на датотеката.
• .exe: означува извршна програма и може да се користи за инсталирање злонамерен софтвер.
• .bat: се користи за серија скрипти и може да содржи команди што извршуваат злонамерен софтвер.
• .vbs: се користи за Visual Basic скрипти, што може да бидат злонамерни.
• .js: позната наставка за JavaScript-датотеки, што може да содржи злонамерен код.
• .msi: наставка за датотеките на Microsoft Installer, што може да се користи за инсталирање злонамерен софтвер.
• .scr: се користи за screensaver датотеки што може да бидат маскирани како нешто друго, но всушност, содржат злонамерен код.
• .dll: наставка за динамички библиотеки, што често се користи за напади врз пропустите на софтверот.

Кога се анализираат линковите и прилозите, треба да се внимава да не се кликне случајно на нив, а од суштинско значење е да се користи антивирусен софтвер којшто открива и спречува злонамерни датотеки.