如何捕获电脑病毒样本（二）

二、文件型File/Macro病毒的捕获

　　如果你怀疑病毒是文件型，将C盘根目录下的command.com文件拷贝到软盘上，取名为command,即去掉扩展名。

　　如果你怀疑病毒是MS Word宏病毒，将C:Program FilesMicrosoft OfficeTemplates目录下的“"normal.dot”文件和C:Program FilesMicrosoft OfficeOfficeStartup 目录内的所有文件拷贝到软盘。(见图2)

        如果你怀疑病毒是MS Excel宏病毒，将XLSTART目录内的所有文件拷贝到软盘。XLSTART位于计算机的多个地方，用Windows搜索功能查找"XLSTART"找到所有的目录，然后将这些目录下的文件全部拷贝到软盘。

　　如果你怀疑病毒是PowerPoint宏病毒，做以下操作:打开一个空的Power Point文件，然后把它另存为一个文件，保存类型选为“演示文稿设计模板”，然后将此扩展名为.pot文件拷贝到软盘。

　　请在该软盘的标签上写明“contains infected files”，并尽量让软盘存入尽可能多的带毒文件。

　　将软盘做成一个影像文件。