对于所谓火绒“大量抄袭”clamAV的最终回应！请别再口水了~

china_killer

事情起因：
    周末时，卡饭Real_FlowerCode 通过所谓“逆向分析”火绒引擎模块，并贴出相应所谓证据~~~
原帖：
[分享] 不止是病毒会有变种
http://bbs.kafan.cn/thread-1524387-1-1.html

[分享] Dr.Web 8.0 AutoIt 解码片段
http://bbs.kafan.cn/thread-1525390-1-1.html

随后：
       jefffire 童鞋以不顾事实的夸张发帖，开始了火绒“抄袭clamAV”侵犯“GPL”等事件的序幕~

“经卡饭帮帮团大牛最近分析发现，ClamAV开源杀毒软件已经和火绒“强强联手”，火绒脱壳引擎大量使用clamAV开源代码，打造新一代“牛逼”安软。”
                     原帖标题： clamAV开源项目摇身一变成火绒
                     原帖链接：http://bbs.kafan.cn/thread-1524423-1-2.html


     由于周末看到360 MJ在下面的鼓动，我认为只是BOOTKIT事件的延续，只想以一个简单声明结束~~但事实证明~
没有我想象的简单~~这两天疯狂闹剧呀.....
    通过上次bootkit的事，本人一直也反思是否后太过张扬，毕竟对作者的前途会有一定的影响。在卡饭的发帖也明显
会考虑再三，现在对“这场闹剧”做一个官方的最后解释~~以后不再回复！



逆向分析说明：
      既然事出于Real_FlowerCode 的“分析证据”那我就重这下手~~还原事情的真相吧~

首先戳破：
[分享] Dr.Web 8.0 AutoIt 解码片段
http://bbs.kafan.cn/thread-1525390-1-1.html该帖是为了说明dr.web 的AutoIt 解码片段没有包含 和火绒，clamAv相同的“特征”证据
我们特意将原帖所谓分析截图放在了右侧~~~，左测是我们逆向的dr.web autoIt解码片段代码
对比 http://bbs.kafan.cn/thread-1524387-1-1.html  事实就出来了。
注：
  我们不知道作者贴了一段dr.web 和autoit解码无关的代码截图说明 dr.web 的解码和火绒、clamav“不同”的用意何在？？




接下来戳破：（抱歉原作者为了“铁证”图多~~我们发3图回应！）
[分享] 不止是病毒会有变种
http://bbs.kafan.cn/thread-1524387-1-1.html
由于这个帖子主要是罗列所谓火绒“逆向”与clamav代码的相似~~[红线框出的部分]。
我们将在原贴中图片中引入“QQ管家和dr.web的一些autoit解码代码”并同样标出红线的相识部分！
（注：为啥不逆向360呢？？抱歉，360一个多月来~~根本没有加入autoit解码支持！）


图一：再次戳破dr.web所谓autoit解码完全不同的谎言~~~
[左侧为火绒autoit解码逆向，中级为dr.web引擎autoit解码逆向，右边为clamAV代码]



下面的反驳案例中我们引入QQ管家的引擎autoit解码部分

图二：[autoit解码代码的解压缩部分]
[左侧为火绒autoit解码逆向，中间为clamav代码，右边为QQ管家引擎autoit解码逆向]



图三：[解密autoit数据头]
[左侧为



最后：
     按照作者的逻辑~~包含红框的“特征”就是抄袭？？？？ dr.web QQ管家和火绒都在抄袭 clamAV????
其实通过逆向一个解码算法然后比较说“一样”来指责别人抄袭~~~真让人无语~~  解码算法大家不是一样的
还能解出一致的结果？？？？



送：Flameocean  的话~~ 你可以热血，也可以无知，但别把耍赖当你的特权！


送：360 员工们~~你们的口水很容易被理解为公司行为。
  
送：某公司的“水军”们~~你们幸苦了~~洗洗回去睡觉吧~


     这两天的闹剧让人无语~~~~ 火绒团队确实没有功夫来应对这样的无聊~~这也是我最后，最终对所谓“抄袭”事件
的回应~~~



附：
      当然我们通过这次事件，排查自己的代码。确实发现了在引：7z开源模块的时候存在不符合开源规范的地方~
火绒会在后续版本中予以调整~~~~



so，分析、讨论请各位理性进行，口水、骂战、攻击等请移步思过崖！
                                                   by     笙儿     2013.4.2

396805331

楼主早点这样回应不就完事了？还发了一个让人猜测不断的帖子。
———————————————分割线———————————————————————
另外，原贴中的判断条件相同，也是autoit解码固有的属性么？
圈住的CASE部分(楼主已经解释，在55楼)

396805331

yjwfdc 发表于 2013-4-2 20:17
是不是病毒可以看金山，不服可以去告金山了。

这个文件的判定，我之前在一个帖子里回复过：http://bbs.kafan.cn/forum.php?mo ... ;page=7#pid27981692
你可以参考一下。
而且金山这个还可能是机器判定的，火绒可是手动入库。
——————————————————————————————————————————————————————————————————————
补充下：我个人觉得这东西手动入库没什么意义。

这个程序压根就不具有可传播性，而且只有了解使用方式才可能造成危害，入库有什么用？给那些已经了解使用方法用户来点插曲么？

而且在PE下使用的话压根得不到火绒的防护。
——————————————————————————————————————————————————————————————————————
二次补充：不过如果以黑客工具入库的名义显然毫无争议。

青春虎

kfshab 发表于 2013-4-2 20:26
呵呵，金山好权威啊，金山恨不得把带360的都报virus.360.gen呢。

建议你上报dr.web kaspersky syman ...

已确定“PwdIgnore.exe”文件是“RISK”。 我们的分析人员将这种威胁命名为“APPL/PwdIgnore.A”。 术语“APPL/”指的是来源很可疑或是在使用时可能会带来风险的应用程序。 如果您确实需要使用该应用程序，您可能需要将其从扫描中排除。 有关更多信息，请访问此处。 通过接下来的某次更新，我们的病毒定义文件(VDF)中将添加这项检测。

此外，您可以在此处查看分析结果:
http://analysis.avira.com/sample ... ;incidentid=1387750

kfshab

z13667152750 发表于 2013-4-2 22:44
黑客程序不等于病毒，国外安全软件在这方面分得比较清楚，安全软件报或不报毒都可以理解，但因此就说别 ...

非要咬文嚼字的话，连黑客程序都不算。
1.那个程序本意是机主忘记开机密码救急用。作者也是出于这个目的写的。
2.他不会被恶意利用。
3.放出来可以启发下cracker对操作系统的理解。

有个屁问题。就这个屁玩意到了kafan还能搞成一个大新闻。

Everlove

mmppp9898 发表于 2013-4-2 22:44
跳出这件事情不说！任何人不要对号入座！我想说：原告有罪的情况多得很咧！

如果被告罪名不成立，对原告最坏的结果就是诉讼被驳回，被告反过来告原告要再次诉讼，那是另外的事情了。所以除非火绒官方抓住这件事不放，否则当初说火绒抄袭的人就什么事都没有。

yjwfdc

kfshab 发表于 2013-4-2 23:09
多学点吧。

国务院颁布的《中华人民共和国计算机信息系统安全保护条例》，以及公安部出台的《计算机病毒防治管理办法》将计算机病毒均定义如下：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。这是目前官方最权威的关于计算机病毒的定义，此定义也被通行的《计算机病毒防治产品评级准则》的国家标准所采纳。

zkx6762

终于出来说话了

===

话说tx管家，，，，，

Ｔo_c_c_i_.

支持火绒，火绒v5

也就是这样

沙发。。。。

imetoo

前排围观

倾枫锝渔♂

Ｔo_c_c_i_. 发表于 2013-4-2 17:22
支持火绒，火绒v5

小白 就好好安安静静看就行了~~

支持火绒这些东西  只会被当成口水~~

支持默默的支持~别被人误以为 是水军~

Ｔo_c_c_i_.

让那些伪大神都去死吧！

Guace

前排，表示看不懂，但无论别人怎么说，我那台老电脑，依旧用着火绒

hwl573452046

看完了 ，坐等大牛回复！        这次管家又躺枪了

看来前排租不出去了，大神已经直接开贴了！

------------------------------------------------------------------------------------------------------------------------------------------------------

这次事件算给火绒个警示，以后低调点吧！ 刘CEO

大家跟你又没有利益关系，没人真要跟火绒过不去。但是你自己也要知道克制，自己喜欢挑衅找事，那谁也没办法帮你

Rosa真紅

V大費心了
之前我也以為V大是用了一部份源碼