Sheriff 主模块在尝试下载文件前，会先上传一条日志信息，其中包含受害者主机的公网 IP 地址及已加载模块列表。该日志通过“受害者 ID”进行异或密，受害者 ID 由 GUID（源自参数或随机生成）与序列号组成。加密完成后，日志会被上传至 Dropbox 中一个与该受害者 ID 同名的文件夹内。

所有文件均从 Dropbox 中路径为 /<victim_id>/Dow/ 的文件夹获取，并下载至本地硬编码为 /DxyVS1 的“ModulsFolder”目录下。文件下载完成后，Dropbox 端的对应文件会被立即删除。接下来，我们将详细说明主模块对下载文件的处理流程。

上传流程首先会枚举“UploadLocalFolder”目录下的所有本地文件（该目录的硬编码路径为 /gyTufW）。根据文件扩展名，这些文件分为三类：

使用硬编码的“_defaultZipExt”.d7r 的文件已经是压缩文件； 没有扩展名的文件已经加密，可以上传； 其他文件仍然是明文格式。

“PreparingForUpload”函数会先将所有明文文件压缩为一个新的 ZIP 文件。随后，所有 ZIP 文件将通过随机生成的 AES 密钥进行加密，该 AES 密钥会进一步使用 RSA 公钥加密，并与加密后的 ZIP 文件拼接在一起。执行过程中，该函数会删除文件夹内所有残留文件，仅保留完全压缩并加密后的文件。这些文件随后会被上传至 Dropbox 中路径为 /<victim_id>/Up/ 的文件夹，同时本地文件会被删除。

上传和下载功能均以异步方式执行，在分析的样本中，其运行计时器被硬编码为 30 秒。

调查期间，该关联的 Dropbox 账户已无任何文件托管，这一点可从存储空间使用情况看出：