L'oggetto più appropriato per memorizzare ed analizzare un virus è il file che contiene il suo corpo. Per l'analisi del virus è bene avere diversi file infetti, di lunghezza e formato diverso (COM, EXE, SYS se il virus li infetta). Se è necessario analizzare parte della RAM, allora si deve scoprire l'area dove il virus risiede e copiarla in un file usando delle utility apposite. Se è necessario analizzare il Boot sector o il Master boot record, allora bisogna copiarli in un file, anche se sarebbe meglio fare una immagine del disco (solo nel caso di floppy). Il tutto deve essere spedito ai ricercatori che si occupano dei virus o a qualche produttore di programmi antivirali. Tuttavia, se il tempo a disposizione è poco e il sistema infetto non può fare una quarantena (stare spento finchè non si ottiene una risposta dai ricercatori), un utente che conosce bene l'Assembler e il DOS può analizzare il virus e prendere le opportune misure scrivendo un programma antivirus da solo.
Quando un virus è stato localizzato in memoria o è stato identificato in un file infetto, si deve capire:
Dall'analisi di un file virus si dovrebbe capire quali tipi di file vengono infettati dal virus, e in quale posizione del file il virus piazza il proprio codice; per permettere poi di recuperare il file originale bisogna trovare il posto in cui il virus mantiene le informazioni per passare il controllo al file.
Dall'analisi di un boot virus si dovrebbe capire dove esso tiene la copia del boot sector o come erano i dati del boot sector originale.
Se il virus è di tipo residente in memoria, è necesario trovare la porzione di codice del virus che gli permette di mettersi residente in memoria e di calcolare gli indirizzi delle routine del virus che agganciano gli interrupt.
Una volta noto tutto ciò si possono prendere delle misure temporanee per tamponare l'infezione in attesa di avere a disposizione un antivirus aggiornato con le caratteristiche di questo virus.