Prvi korak v tej fazi je analiza formata datoteke ali njene končnice. Nekatere zlonamerne datoteke imajo lahko dodatne končnice, kot je .pdf.zip, ali pa sploh nimajo končnice. Določene končnice se pogosto uporabljajo za zlonamerne datoteke. Vendar pa prisotnost takšne končnice kaže, da bi datoteka lahko bila nevarna, ne nujno, da zagotovo je. Tukaj so nekateri primeri:

• .zip: Pogosto se uporablja za kompresiranje in arhiviranje datotek, to funkcijo pa lahko nepridiprav izkoristi za prikrivanje zlonamerne programske opreme znotraj datoteke.
• .exe: Označuje izvršljiv program in se lahko uporablja za namestitev zlonamerne programske opreme.
• .bat: Uporablja se za skripte za serije ukazov in lahko vsebuje ukaze, ki izvajajo zlonamerno programsko opremo.
• .vbs: Uporablja se za skripte Visual Basic, ki so lahko zlonamerne.
• .js: Znana končnica za datoteke JavaScript, ki lahko vsebujejo zlonamerno kodo.
• .msi: Končnica za datoteke Microsoft Installer, ki se lahko uporabljajo za namestitev zlonamerne programske opreme.
• .scr: Uporablja se za datoteke z zaslonom, ki se lahko prikrijejo kot nekaj drugega, vendar dejansko vsebujejo zlonamerno kodo.
• .dll: Končnica za dinamične knjižnice, ki se pogosto uporabljajo za napade na ranljivosti programske opreme.

Pri analizi povezav in prilog je treba biti previden, da se izognemo nenamernim klikom, prav tako je uporabljati protivirusno programsko opremo, ki zazna in preprečuje zlonamerne datoteke.