Q系例PLC解密步骤 密码表.txt

破解PLC密码采用软件侦听法解除Omron PLC读取保护1 引言随着自动化控制技术的发展，plc在工业过程控制领域中发挥着越来越重要的作用。

omron plc 在各种机器设备上应用较为广泛，设置了plc程序读取加密保护的设备出现问题时，设备制造商由于倒闭或其它原因，往往不能提供密码，无法及时监控程序、分析故障原因，给设备故障的分析、解决带来很大的不便。

另外，一但plc的模拟量或数字量输入、输出端口损坏，即使模块有备用通道，由于程序加密无法修改，也只能整体更换相应模块，增加了设备的维护成本，给设备维护工作带来很大不便。

为了解决加密保护设备的质保后期生命周期管理问题，我们可以通过串口监测软件对omron plc与plc编程软件进行密码输入与输出时的串行通讯数据进行监视、拦截通讯帧，再对通讯帧进行对比分析，反复实验，可以实现对plc内部保留协议的侦听测定；再使用vb等编程软件采用枚举法编制程序获取密码。

2 监测的原理和方法2.1 监测通讯硬件基础串行通讯端口(serial communication port)在控制系统中一直占有极重要的地位，主要有rs232和rs485两种通讯方式。

现在的计算机上广泛采用的是美国电子工业协会eia(elect-ronic industry association)制定的rs232c串行物理接口标准，rs是英文“推荐标准”的缩写，232为标识号，c表示修改次数。

对于一般双工通信，仅需几条信号线就可实现，如一条发送线、一条接收线及一条地线，同时具有两个方向的传输能力是“全双工”(double duplex)的数据传输。

目前，大多数plc制造商都生产与rs232c 相兼容的plc通讯模块或plc编程接口转换电缆，我们可以用计算机通过rs232c通讯接口实现对大多数plc的编程或通讯。

理论上，我们可利用串口调试软件截获并记录数据发送线、接收线串行传输的数据，实现对计算机及plc通讯信息的监测、分析。

S7-200CN解密教程西门子S7-200CN解密软件使用说明一：本套软件为拆机解密，经多年实践，已证实此套软件确实可行：可以破解迄今为止市面所售的所有西门子S7-200PLC（进口，国产CN型）的密码，型号包括（212、214、216、222、22CN、224、224CN、224XP、224XP CN、226、226CN、226XM）轻松破解3级和POU密码。

是迄今为止最为先进且真正实用的解密方法，直接读取PLC的EEPROM芯片获取密码。

（注：目前市面上没有纯软件可解西门子S7-200CN 新版，必须通过拆机来解密，如果说卖家说有不需拆机能解密者，请你三思而后行）.我们提供此套软件包含下面内容：软件下载1. CPU221.222.224.226CN bin文件2. EEPROM芯片编程器3. S7-200CN解密的客户程序（200多个例子）4. S7-200CN解密软件（国产CN，新版CPU 02.01）5. S7-200解密软件（老版本CPU型号）6. CPU 24CXX的拆机芯片示意图.JPG7. EEPROM芯片24Cxx管脚图.BMP8. EEPROM芯片编程器与PC电脑连接.JPG9. EEPROM芯片编程器与PC电脑直连.JPG10. EEPROM芯片中文编程器教程.rar11. S7-200CN 4级改3级的解密教程.doc12. s7-200cn 解密说明.jpg13. s7-200cpu EEPROM芯片图示.jpg14. 西门子S7-200CN解密软件使用说明.doc二：初次解密时有条件的最好能够先找一台PLC机实验或我们提供的一个有程序的EEPROM芯片24C256读取数据，按照下面的流程操作一次。

不可莽撞行事，以免有不可预料的麻烦。

下面你需要自备工具2件，第一件就是电烙铁或风枪一个，第二件就是镊子一把。

其他的由我们提供。

三：在拆机解密之前，请先用西门子4.0以上的编程软件“STEP 7-MicroWIN”读取一下PLC,第一确定PLC的加密等级，第二确定PLC的通讯波特率与PLC地址。

三菱Q系列PLC程序解密方法
以下解密方法只在三菱Q2HCPU上试用过。

首先，打开串口监控软件，本人使用的是Ser232Mon1.0和CommMonitor。

打开GX Developer，本人使用的版本是8.52E，和以前的版本相比增加了可以使用鼠标滚轴浏览程序的功能。

开始和PLC建立通讯（图1、图2）。

图1
图2
当出现“检查口令”界面（图3）出现之后，切换到串口监视软件。

图3
以Ser232Mon1.0为例（图4），在“read”中的一组“FF”之前的四个数据就是密码，其中低八位为真实值，高八位为密码的原始值加6后的数据。

图4
例如在Ser232Mon中找到如下数据，中
20202020202020202004022200030301080400 0091929394FF FF FF FF FF FF FF FF FF FF FF FF FF10 03364110020000FC0000
密码便是“91929394”，其中91的高八位“9”减去6就是3，和低八位合并就是31，代表的ASCII码值为31，字符就是1。

以此类推，密码就是“1234”。

若是使用CommMonitor（界面如图5所示），使用方法类似。

图5
以上便是三菱Q系类PLC的解密方法，在Q2HCPU上经过反复测试，该方法有效。

由于本人能力所限，本文所述之方法难免有些粗陋，还望见谅。

声明：上述解密方法只作为技术交流之用，请勿用于其它任何商业目的。

使用本解密方法需得到设备开发和生产业主的同意。

本人不承担由此引起的任何法律责任。

忧
2009年5月12日。

PLC 控制系统定时“炸弹”拆解一例1、概述本文叙述了对某企业板材生产线控制系统的定时“炸弹”拆解的全过程。

其中走了一些弯路，但并非毫无意义。

解决问题是我们的目的，但是思考问题并找到解决问题的方法才能让我们不断进步，正所谓过程比结果更重要！2、情况介绍在某企业板材生产线车间，午夜12点刚过，突然全线停机，故障原因不明。

当几天后我接手问题时，除了一份安装用的接线图纸以外没有任何资料。

由于维修人员已经对外部设备进行过检查，排除了外部设备故障的可能。

焦点集中在了控制系统，我对主要控制设备进行了检查，大概情况如下表：名称型号数量状态备注三菱PLC FX-2N 3台前、后段两台正常，中段主机PLC本身正常，但全部无输出。

设有密码，不能读出源程序。

三菱触摸屏AGOT970 1台画面切换正常，设定数据有回显。

与主机PLC连接正常。

设有密码，不能读出源程序。

三菱PLC特殊模块8块正常，与主机PLC连接。

AD转换与DA转换各四块未标注各块连接哪些部分以下提到PLC或GOT，如无特别说明指的均为上述型号。

由于三段的PLC控制设备无连接，故排除连动故障停机。

加上停机时间的特殊性几乎可以肯定是在程序中设有定时“炸弹”。

如此，想要不重写全部控制程序就非得从PLC中获得源程序，但是密码未知。

破解PLC密码成了必然之举。

3、PLC 密码研究在网上搜索了一下，发现破解这类密码的软件都要数百元以及上千元注册费用。

看来得自己研究了。

三菱的PLC编程软件通过串口与PLC相连，让我们用串口通信抓包软件来看看他们之间都说了些什么。

我用的串口抓包软件是Portmon。

设置好程序的过滤器把通信中的一些状态检测全部滤掉。

连接到电脑的本机，然后选择PLC连接笔记本的串口号（我的笔记本是用的一个USB 转RS232C的转接头）我在GX Developer中随便输了一个密码00000000，当然结果是告诉我密码错误。

但是我现在已经知道了电脑和PLC之间说了些什么。

PLC密码破译的完全免费方法
PLC密码破译的完全免费方法
1、网上下载一个试用的PLC密码读取程序，同时也找一个串口监视的程序。

2、连接PLC，运行串口监视程序，用试用的PLC密码读取程序读取PLC的密码。

3、在串口监视的数据中，有一串数据，你会找到PLC的密码。

我只试三菱的PLC，没有机会试其它牌子的PLC，理论上都行的，朋友们不妨试一个。

很多三菱解密的东东，最终都要RMB。

我为大家提供一个免费的。

（注明：需要下载串口监视软件）
设置串口：COM1，波特率：9600，数据位：7，校验：E偶，停止位：1
输入：输入EHX，显示：显示ASC
1、按图示设置，选定端口后点击打开；
2、在发送字符栏输入下面的字符串后点发送；
02 30 38 30 30 38 30 38 03 36 42
3、返回一串16进制的ASCII码，30H为数字0，31H为数字1，以此类推；
例：02 30 38 30 30 38 30 38 03 36 42
（37ms ）
\STX4236353433323130\ETX41
密码是：B6543210 《42=B》
三、关于串口调试和串口监视软件，大家可以使用百度搜索引擎搜索：
/doc/0b12684216.html,/ ，然后输入“串口调试”或者“串口监视”，就可以找到很多软件，下载后自己试验一下，看上述解密方法用哪种软件比较方便。

四、当然，首先要有笔记本电脑，最好是WIN98系统（因为很多
串口软件在WIN98下才好用），还要有PLC到电脑串口的连接电缆。

plc程序加密解密方法详解 - plc大家都知道，很多品牌plc的程序都可以通过软件解密，那么一旦解密后程序就非常透明的显示在了别人的眼中，而将设备卖给别人又将PLC程序整个锁死的话又不切实际，甲方会无法维护；而保密和维权更是中国市场经久不衰的话题，其实德国的工程师从来不会给自己的程序整体加密，而是使用其他方式，既不影响发生故障时的诊断，又可以保护自己的核心机密。

今天给大家介绍一下这些方式，供大家参考。

一、使用西门子安全PLC或者博途的KNOWHOW功能西门子安全PLC作为西门子主打安全功能的一款产品，它的性能毋庸置疑，而且安全PLC的程序块加密后无法破解；可以很好的保护核心。

而博途PLC作为西门子的最新产品，其版权保护也是它的主要功能之一，KNOWHOW功能是软硬件双重加密，不加密的块可以正常监控，没有密码的话甚至无法下载到其他PLC；因此使用博途的KNOWHOW功能既可以将程序交给甲方方便维护，又可以保护自己的核心程序不被窃取。

二、采用高级语言编写部分重要的工艺程序西门子除了最基础的LAD梯形图编程，FBD功能块编程和STL语句表编程还有很多其他的方式，比如说PCS7的CFC,SFC; 除此之外还有SCL，S7-GRAPH等等。

对于这些语言，一般的工控人员很难全部精通，因此仿制难度大大提升，因此非常关键的工艺程序可以由这些语言编写，也可以很好的保护自己的核心。

1.编程方式的采用a)采用模块化的程序结构，采用符号名，参数化来编写子程序块b)尽量采用背景数据块和多重背景的数据传递方式c)多采用间接寻址的编程方式d)复杂系统的控制程序尤其是一些带有顺序控制或配方控制的程序，可以考虑采用数据编程的方式，即通过数据的变化来改变系统的控制逻辑或控制顺序。

用户应该尽量采用以上几种高级层次的编程方式，这样编出来的程序中嵌入系统的保护加密程序，才不容易被发现而仿制。

2.主动保护方法a)利用系统的时钟b)利用程序卡或者CPU的ID号和序列号c)利用EEPROM的反写入功能，及一些需要设置的内存保持功能d)利用系统提供的累时器功能e)在用户程序的数据块中设置密码f)软件上设置逻辑陷阱g)可以反向利用自己在编程时犯的错误3.被动保护方法a)在内存容量利用许可的条件下，不要删除被认为是无用的程序b)在数据块里留下开发者的标识，以便于将来遭到侵权时可以取证4.应用反窃取技术的注意事项a)在用户程序中嵌入保护程序要显得自然一些，不能很突兀的加出一段程序来，代码要尽量精简，变量符号名应与被嵌入程序段的变量保持一致b)往往一种保护加密手段是不够的，应该多种方法并用，并且这些保护程序一旦激活后对系统造成的后果也应该尽量不同，造成所谓的“地雷效应”，从而增加程序被窃取的难度，时间与成本，短时间内让抄袭者束手无策，c)保护好程序的原代码，如果需要交付程序的，在不影响用户对设备维护的前提下，应对交付的程序做适当的技术处理，如删除部分符号名，采用上载的程序或数据块d)做好严格的测试，以避免保护程序的不完善引起的误动作而带来的不必要的麻烦，同时也能降低售后服务的的费用。

浅谈西门子plc程序加密和程序块加密及解密第一种情况。

是在硬件组态中，在CPU属性中按照保护等级设置密码，将CPU中程序锁住，不影响CPU的正常运行。

这种情况是往往是程序设计编程人员出于安全和知识产权的保护等目的而进行的设置。

常见的加密方式有三种。

1、程序可读出，数据可修改，运行可监视，只是程序不可更改。

（出于安全考虑）2、数据可修改，运行可监视，程序即不能读出也不能修改。

（出于安全考虑，也为保护知识产权）3、程序、数据、运行均不可读出、监视和更改。

（安全性最高）方法：在硬件组态中打开CPU的protection（保护）选项，选择所需加密方式，设置密码后保存编译重新下载硬件组态就可以了。

注意：如何设置密码忘记或丢失，那么只有通过编程软件在线连接PLC,清空PLC程序，（包括程序块，系统块和数据块）然后将备份的程序重新下载。

第二种情况就是程序中程序块的加密和解密。

方法步骤如下。

1、在STEP7中打开要加密的程序块，点击菜单“文件/生成源文件（File/Generate source）”，生成要加密保护的程序块的原代码文件。

2、关闭程序块，在项目管理器中打开“源文件（source）”,打开生成的源文件。

3、在程序块的声明部分，TITLE行下面的一行中输入“KNOW_HOW_PROTECT”。

4、执行菜单命令“文件/保存（File/Save）”然后“文件/编译（File/Compile）”。

5、编译成功后，可在“块”中看到加锁的程序块。

6、解除密码，打开相应的“源文件”，把“KNOW_HOW_PROTECT”删除，然后编译即可。

注意，保存好源文件，否则已加密的程序块将无法打开。

同时，你用SCL源程序编译完成后，删除SCL源程序就行了。

别人没SCL源程序，打开你程序中的块时就只能显示成STL程序了。

第三种情况就是我们在打开别人的程序时，遇到的那些加密程序块，又没有源程序的情况下，就只能靠一些解密工具或者其他方式了。

PLC加密的方式：通过编程软件将密码（明文）同程序文件一起写入PLC中。

在用编程软件连接PLC时，提示输入密码，然后PLC返回实际密码，在编程软件内部实现密码的比较。

此种加密方法在写入PLC中的密码没用经过任何加密计算。

比较容易破解！通过编程软件将密码同程序文件一起写入PLC中。

写入PLC的密码（密文）在编程软件内部经过一定的加密计算（大都是简单的加密算法）。

在用编程软件连接PLC时，提示输入密码，然后PLC返回密文密码，在编程软件内部实现密文的比较。

此种加密方法，破解有一定的难度！需要跟踪分析编程程序，找出加密算法。

通过编程软件将密码明文同程序文件一起写入PLC中，由PLC对密码明文进行加密计算出密文存储在PLC内部。

在用编程软件连接PLC时，提示输入密码，PLC不用返回密文，在PLC内部实现密文的比较。

这种加密方式也不易实现，需要PLC硬件及PLC操作系统支持。

此种加密方式最难破解。

PLC的解密方式：直接监视通讯口，找出明文密码。

监视通讯口、跟踪编程软件，找出密码明文与密文的关系（算法）。

目前没有十分有效的方法。

各种破解需要一定的技巧及经验、相关软件，真正的高手不屑于此。

写此篇文章的目的不是要教大家如何破解，只是看不惯某些专业收费破解PLC密码的人，提醒PLC厂家提高密码的保密强度。

艾驰商城是国内最专业的MRO工业品网购平台，正品现货、优势价格、迅捷配送，是一站式采购的工业品商城！具有10年工业用品电子商务领域研究，以强大的信息通道建设的优势，以及依托线下贸易交易市场在工业用品行业上游供应链的整合能力，为广大的用户提供了传感器、图尔克传感器、变频器、断路器、继电器、PLC、工控机、仪器仪表、气缸、五金工具、伺服电机、劳保用品等一系列自动化的工控产品。

如需进一步了解台达PLC、西门子PLC、施耐德plc、欧姆龙PLC的选型，报价，采购，参数，图片，批发等信息，请关注艾驰商城/。

Q2010-C控制器使用说明书一、设置使用方法：1、初始密码:出厂设置的编程密码为666882、进入编程状态：输入编程密码【66688】按【，#】此时红灯和黄灯亮,控制器进入编程状态。

进入编程状态后，如20秒内无操作将自动退出编程状态。

3、修改个人用户密码（无需在编程状态下）按【＃】键“读相对应的卡”“【输入4位旧密码】【再输入4位新密码】”如操作正确，绿灯闪亮一次关闭，同时蜂鸣器长鸣一声。

注：缺省密码(1234）4、功能设置：必须在进入编程状态情况后设置才能生效，否则操作无效。

四、修改“编程密码”进入编程状态：按【1】【输入5位新密码】蜂鸣器短鸣一声，绿灯闪亮一次关闭，密码修改成功，按【0】退出编程状态。

五、修改或设置通用密码进入编程状态:按【2】输入(4位数通用密码）(如8888）蜂鸣器短鸣一声，绿灯闪亮一次消失，密码修改成功，按【0】退出编程状态六、设置用户卡片：①按卡号单张发卡：按【61】【#】“输入（前10位数字卡号或后8位数字卡号）【#】（可连续输入卡号按【＃】键结束).注：前10位为ID卡上丝印的前段以0为首的10位数字，后8位为丝印在卡上后段带逗号的8位数字。

②按卡号批量发卡：按【62】【#】“输入（前10位数字卡号或后8位数字卡号）【#】，再输入要增加卡的张数(3位数）【＃】”最多可一次连续发999张卡.发卡过程中控制器会发出嘀…嘀提示音,每一声响表示一张卡设置成功，全部设完蜂鸣器会发出嘀嘀两声响.（注：此项功能必须卡号为连号的卡片）。

③读卡发卡：按【63】【＃】读要授权的卡，（可续读卡发卡）按【＃】键结束。

④设置管理卡:按【64】【＃】读要设置的卡片。

注意：新设置的管理卡将取代旧的管理卡,管理卡只有一张.管理卡是用来设置卡片或删除卡片用的。

⑤管理卡使用方式：a、读管理卡一次,则峰鸣器长鸣一声,按#键可以开锁。

b、连续读管理卡三次,立即移开管理卡,控制器长鸣三声则进入连续设置卡片状态。

产电PLC解密方法1. 简介PLC（Programmable Logic Controller）是一种用于工业自动化控制系统的计算机控制器。

它能够根据预先编写好的程序，对工业生产过程进行自动化控制。

在一些特定领域，如发电厂、输电站等，PLC被广泛应用于产电过程的控制中。

然而，由于安全和商业保密等原因，许多PLC厂商采取了加密措施来保护其软件和硬件。

这使得对PLC进行解密成为一项具有挑战性的任务。

本文将介绍一些产电PLC解密的方法。

2. 软件解密方法2.1 反汇编与逆向工程反汇编是将二进制代码转换为汇编代码的过程，逆向工程则是通过分析和理解汇编代码来还原出原始程序的过程。

这种方法需要使用专门的反汇编软件和逆向工程工具。

1.使用反汇编软件（如IDA Pro、OllyDbg等）打开PLC程序文件。

2.分析并理解程序的结构和功能。

3.运用逆向工程技术还原出源代码或者关键算法。

4.根据需求进行修改或者重构程序。

2.2 硬件仿真与调试硬件仿真是通过模拟PLC的硬件环境，使其在计算机上运行，从而方便进行调试和分析。

这种方法需要使用专门的PLC仿真软件和调试工具。

1.使用PLC仿真软件（如Siemens PLCSIM、Rockwell RSLogix Emulate等）加载PLC程序。

2.在仿真环境中进行调试和分析，观察程序的运行过程和数据变化。

3.根据观察结果推测出关键算法或者解密所需信息。

3. 硬件解密方法3.1 芯片读取与破解有些PLC厂商将加密算法或者关键信息存储在芯片内部，通过读取芯片内容可以获取到这些信息。

这种方法需要使用专门的芯片读取设备和破解工具。

1.使用芯片读取设备（如Universal Programmer、JTAG等）读取PLC芯片的内容。

2.分析并理解芯片内容的结构和编码方式。

3.运用破解工具进行解码或者还原出关键信息。

3.2 接口分析与攻击有些PLC厂商在设计中存在接口漏洞，通过利用这些漏洞可以获取到PLC的控制权，从而解密程序或者获取关键信息。