一、引导型boot病毒的捕获 　　引导区类型的病毒提取很简单，首先利用format a: /s将引导系统文件复制到软盘中，然后再将的硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下：进入ms-dos方式，格式化一张系统盘，format a: /s ，针对不同的系统，请将如下文件拷贝到这同一张软盘之中： 　　对于windows 3.x：拷贝\windows\system下的gdi.exe?rnl286.exe、progman.exe三个文件。 　　对于windows 95/98/me：拷贝\windows\system下的gdi.exe、krnl386.exe、progman.exe三个文件。 　　对于windows nt、windows 2000：拷贝\windows\system32下的gdi.exe、krnl386.exe、progman.exe三个文件。 　　如果格式化软盘时出现死机，请按下列步骤提取：请在该软盘的标签上写明“damaged during infected format as boot disk”。针对不同的系统的上列文件，拷贝到不同的软盘中，方法同上。 　　二、文件型file/macro病毒的捕获 　　如果你怀疑病毒是文件型，将c盘根目录下的command.com文件拷贝到软盘上，取名为command，即去掉扩展名。 　　如果你怀疑病毒是ms word宏病毒，将c:\program files\microsoft office\templates目录下的“normal.dot”文件和c:\program files\microsoft office\office\startup 目录内的所有文件拷贝到软盘。 　　如果你怀疑病毒是ms excel宏病毒，将xlstart目录内的所有文件拷贝到软盘。xlstart位于计算机的多个地方，用windows搜索功能查找“xlstart”找到所有的目录，然后将这些目录下的文件全部拷贝到软盘。 　　如果你怀疑病毒是powerpoint宏病毒，做以下操作：打开一个空的power point文件，然后把它另存为一个文件，保存类型选为“演示文稿设计模板”，然后将此扩展名为.pot文件拷贝到软盘。 　　请在该软盘的标签上写明“contains infected files”，并尽量让软盘存入尽可能多的带毒文件。将软盘做成一个影像文件。 　　三、trojans病毒的捕获 　　运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。 　　hkey_local_machine\software\microsoft\windows\currentversion\run中涉及到的文件。 　　hkey_local_machine\software\microsoft\windows\currentversion\runservices中涉及的文件。 　　打开win.ini文件，将文件中“load=”和“run=”行中涉及的文件记录下来。 　　按如上信息确定文件名和它们所在的目录，并将这些文件压缩到一个zip文件中。 　　四、介绍几款病毒工具软件 　　clrtext.zip：当你提交的病毒是word或excel宏病毒时，这个工具软件可以将你的感染文件的内容清除，而只保留宏，从而可以避免你的保密信息泄露。 　　savembr.zip：这个工具软件可以将你的感染硬盘的mbr读到一个文件中，然后把文件发送到nai进行病毒分析。 　　rwflopy.zip：rwfloppy软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时，可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒，由于它隐藏在软盘的80、81扇区，而一般的软件无法读取这两个扇区。 　　readt80.zip：为了正确检测boot区病毒，我们需要一张包含病毒的软盘。可以通过dos状态下格式化一张系统软盘来得到：format /s a: 　　需要软盘的原因是：引导区病毒通常把自己隐藏在一般dos软件不能读取的地方(对于1.44m软盘有80个扇区，从0到79，引导区病毒把病毒代码隐藏在80、81扇区) 　　如果你用一般的软件来生成一个软盘影像文件，这个影像文件不包含80和81扇区，所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。 　　sysu.zip：这个软件用来恢复被多种宏病毒感染的系统。