Analisa malware terdiri dari 2 metode, statik dan dinamis. Analisa stitik dilakukan dengan melakukan analisa kode program malware, analisa gambar, string, dan resource disk lainnya. Teknik yang dilakukan adalah reverse engineering. Malware yang paling banyak saat ini adalah dalam bentuk PE Malware (Portable Executable). PE ini merupakan jenis format yang banyak digunakan pada Windows. Kita dapat menggunakan library python pefile untuk menganalisa malware jenis ini.  

Pada bab ini Saxe menyediakan sampel malware pada direktori /ch1 pada link yang dia sediakan di webnya. Untuk percobaan, digunakan sampel ircbot.exe sebuah bot IRC. Bot ini dirancang untuk berada dalam komputer dan terhubung dengan sebuah server irc. Setelah ircbot.exe masuk ke komputer target, penyerang dapat mengendalikan komputer target melalui IRC. Kemudian penyerang dapat menghidupkan webcam, mengetahui lokasi korban, mengambil screenshoot desktop, mengambil file dari korban dst.

Pengetahuan pertama yang harus dikuasai adalah tentang format PE. Format ini digunakan windows untuk file seperti .exe, .dll .sys dll. Format ini berisi instruksi x86, data seperti gambar dan text serta metadata.

Fungsi file PE diantaranya adalah sebagai berikut:

• memberi info kepada windows, bagaimana memindahkan sebuah program ke memori.
• menjelaskan bagian mana dari file yang harus dipindahkan ke memori dan kemana.
•  memberi info kepada windows bagian mana dari kode yang harus dijalankan
•  kode library dinamis mana yang harus dipindahkan ke memori
• Menyediakan media maupun resource tertentu. Diantaranya strings character, gambar maupun video
• Menyediakan data keamanan seperti digital code signatures yang digunakan Windows untuk memastikan kode tersebut dari sumber yang terpercaya