На мій погляд, найбільш зручним для зберігання та аналізу вірусу об'єктом є файл, у якому його (вірусу) тіло. Як показує практика, для аналізу файлового вірусу зручніше мати кілька заражених файлів різної, але не дуже великий, довжини. При цьому бажано мати заражені файли всіх типів (COM, EXE, SYS, BAT, NewEXE), слабости вірусом. Якщо необхідно проаналізувати частина оперативної пам'яті, то за допомогою деяких утиліт (наприклад, AVPUTIL.COM) досить просто виділити ділянку, де розташований вірус, і скопіювати його на диск. Якщо потрібно аналіз сектора MBR або boot-сектора, то скопіювати їх у файли можна за допомогою популярних «Нортоновских утиліт» або AVPUTIL. Для зберігання завантажувального вірусу найбільш зручним є файл-образ зараженого диска. Для його отримання необхідно відформатувати дискету, заразити її вірусом, скопіювати образ дискети (всі сектори, починаючи з нульового і закінчуючи останнім) у файл і при необхідності скомпрессировать його (її можна проробити за допомогою «Нортоновских утиліт», програм TELEDISK або DISKDUPE).
Заражені файли чи файл-образ зараженої дискети краще передати розробникам антивірусних програм електронною поштою або, у крайньому випадку, на дискеті звичайною поштою. Але якщо це піде багато часу, який, як відомо, не чекає, то користувачам, досить упевненим у собі, можна спробувати і самостійно розібратися у вірусі і написати власний антивірус.
При аналізі алгоритму вірусу належить з'ясувати:
спосіб (и) розмноження вірусу; характер можливих пошкоджень, які вірус завдав інформації, що зберігається на дисках; метод лікування оперативної пам'яті і заражених файлів (секторів).При вирішенні цих завдань не обійтися без дизассемблера або отладчика (наприклад, отладчиков AFD, AVPUTIL, SoftICE, TorboDebugger, дизассемблеров Sourcer або IDA).
І отладчики, і дизасемблери мають і позитивні і негативні риси - кожен вибирає те, що він вважає більш зручним. Нескладні короткі віруси швидко «розкриваються» стандартним відладчиком DEBUG, при аналізі об'ємних і високоскладних поліморфік-стелс-вірусів не обійтися без дизассемблера. Якщо необхідно швидко знайти метод відновлення уражених файлів, досить пройтися отладчиком по початку вірусу до того місця, де він відновлює завантажену програму перед тим, як передати їй управління (саме цей алгоритм найчастіше використовується при лікуванні вірусу). Якщо ж потрібно отримати детальну картину роботи вірусу або добре документований лістинг, то крім дизассемблеров Sourcer або IDA з їх можливостями відновлювати перехресні посилання, тут навряд чи щось допоможе. До того ж слід враховувати, що, по-перше, деякі віруси досить успішно блокують спроби протрассировать їх коди, а по-друге, при роботі з відладчиком існує ненульова ймовірність того, що вірус вирветься з-під контролю.
При аналізі файлового вірусу необхідно з'ясувати, які файли (COM, EXE, SYS) вражаються вірусом, в яке місце (місця) в файлі записується код вірусу - на початок, кінець або середину файлу, в якому обсязі можливе відновлення файлу (повністю або частково) , де вірус зберігає відновлювану інформацію.
При аналізі завантажувального вірусу основним завданням є з'ясування адреси (адрес) сектора, в якому вірус зберігає початковий завантажувальний сектор (якщо, звичайно, вірус зберігає його).
Для резидентного вірусу потрібно також виділити ділянку коду, створює резидентну копію вірусу і обчислити можливі адреси точок входу в перехоплюваним вірусом переривання. Необхідно також визначити, яким чином і де в оперативній пам'яті вірус виділяє місце для своєї резидентної копії: записується чи вірус за фіксованими адресами в системні області DOS і BIOS, зменшує чи розмір пам'яті, виділеної під DOS (слово за адресою [0000:0413]) , створює з себе спеціальний MCB-блок або використовує якийсь інший спосіб.
Існують особливі випадки, коли аналіз вірусу може виявитися дуже складною для користувача завданням, наприклад при аналізі поліморфік-вірусу. У цьому випадку краще звернутися до фахівця з аналізу кодів програм.
Для аналізу макро-вірусів необхідно отримати текст їх макросів. Для нешифрованих не-стелс вірусів це досягається за допомогою меню Tools / Macro. Якщо ж вірус шифрує свої макроси або використовує стелс-прийоми, то необхідно скористатися спеціальними утилітами перегляду макросів. Такі спеціалізовані утиліти є в кожної фірми-виробника антивірусів, проте вони є утилітами «внутрішнього користування» і не поширюються за межі фірм.
На сьогоднішній день відома єдина shareware-програма для перегляду макросів - Perforin. Однак ця утиліта поки не підтримує файли Office97.