西门子S7-300400系列PLC程序块的加密方法

数据块拷贝FUNCTION FC 100 ：VOIDTITLE =//DB BLOCK COPYAUTHOR ：AXGNAME ：DBBTODBBVERSION ：0.1VAR_INPUTSOU_DB ：INT ; //SOURCE DB NUMBERLENG ：INT ; //HOW MANY TO COPYDES_DB ：INT ; //DESTINATION DB NUMBEREND_VARVAR_TEMPSOURCE ：ANY ;DEST ：ANY ;END_VARBEGINNETWORKTITLE =LAR1 P##SOURCE; // Load the start address of the ANY pointers in AR1. L B#16#10; // Load the syntax ID andT LB ［AR1，P#0.0］; // transfer it to the ANY pointer.L B#16#4; // Load data type WORD andT LB ［AR1，P#1.0］; // transfer it to the ANY pointer.L #LENG; // Load HOW MANY WORDS andT LW ［AR1，P#2.0］; // transfer them to the ANY pointerL #SOU_DB; // Source is DB［？］，DBB0.0T LW ［AR1，P#4.0］; //L P#DBX 0.0; //T LD ［AR1，P#6.0］; //LAR1 P##DEST; //Load the DESTINATION address of the ANY pointer in AR1.L B#16#10; //Load the syntax ID andT LB ［AR1，P#0.0］; //transfer it to the ANY pointer.L B#16#4; //Load data type WORD andT LB ［AR1，P#1.0］; //transfer it to the ANY pointer.L #LENG; //Load HOW MANY WORDS andT LW ［AR1，P#2.0］; //transfer them to the ANY pointer.L #DES_DB; //Destination is DB{？}，DBB0.0T LW ［AR1，P#4.0］;L P#DBX 0.0; //T LD ［AR1，P#6.0］; //CALL “BLKMOV” （//Call the block move system functionSRCBLK ：= #SOURCE，//RET_VAL ：= MW 210，//Evaluate the BR bit and MW 210DSTBLK ：= #DEST）;//END_FUNCTION使用说明：可直接调用，#SOURCE---源数据块号#DEST------目标数据块号#LENG----要拷贝数据的长度S7 300/400 的一些功能和技巧2单键翻转FUNCTION FC 11 ：VOIDTITLE =//AUTHOR ：AXGFAMILY ：ESUNAME ：SDZFVERSION ：0.0BEGINNETWORKTITLE =A M 0.0; PLCA M 0.1;= M 58.0;NETWORKTITLE =A M 58.0;AN M 58.1;= M 58.2; NETWORK TITLE =A M 58.2;S M 58.1;ON M 58.0; ON M 0.0;R M 58.1; PLC NOP 0; NETWORK TITLE =A M 58.2;A M 58.4;= M 58.3; NETWORK TITLE =A M 58.2;AN M 58.3; AN M 58.4;S M 58.4;O M 58.3;ON M 0.0;R M 58.4; PLCNOP 0;END_FUNCTION使用说明：M0.0----使能M0.1----单键使M58.4翻转S7 300/400 的一些功能和技巧3 循环读模拟量入DB块L #DB_NOT LW 0OPN DB ［LW 0］L #PIW_ADDRSLD 3T LD 4L #DBD_ADDRSLD 3T LD 8L #CH_LEN PLC资料网NEXT：T LW 0L LD 4LAR1L PIW ［AR1，P#0.0］T LW 2{ CALL “Read Analog Value 464-2”IN ：=LW2HI_LIM ：=5.000000e+002LO_LIM ：=-1.000000e+001 将模拟量转换成工程量BIPOLAR：=TRUERET_VAL：=LW10OUT ：=LD12 }L LD 8PLCLAR1L LD 2T DBD ［AR1，P#0.0］L LD 4+ L#16T LD 4L LD 8+ L#32T LD 8L LW 0LOOP NEXTPIW_Addr ：模拟块通道起始地址CHI_LEN ：要读入的通道数DB_NO ：存储数据块DBW_Addr ：存储在数据块中的字地址艾驰商城是国内最专业的MRO工业品网购平台，正品现货、优势价格、迅捷配送，是一站式采购的工业品商城！具有10年工业用品电子商务领域研究，以强大的信息通道建设的优势，以及依托线下贸易交易市场在工业用品行业上游供应链的整合能力，为广大的用户提供了传感器、图尔克传感器、变频器、断路器、继电器、PLC、工控机、仪器仪表、气缸、五金工具、伺服电机、劳保用品等一系列自动化的工控产品。

STEP7程序加密方法
1.STEP 7的5.5版自带一个加密工具，加密工具在STEP7软件下面的文件夹中：\STEP7 V5.5 SP2 ch\CD_2\Optional Components\S7 Block Privacy\，手动进行安装。

2.安装完成后，打开SIMATIC管理器，右键单击块，执行快捷菜单中的“Block Provacy”命令，在弹出的“S7-Block Provacy”窗口勾选要加密的程序块（见下图1），然后右键单击选中的块，执行出现的“Encrypt block”命令，在出现的“Block encryption”窗口中输入密码，12~24个字符或24字节的数字（见下图2），确定后就加密了，块上面出现加密的符号（见图3），这时，打开程序块，出现块被保护提示，同时程序块没有内容显示（见图4，图5）。

图1
图2
图3
图4
图5
3. 需要解密时，方法过程一样，右键单击“块”，执行快捷菜单中的“Block Provacy”命令，在弹出的窗口勾选要解密的程序块，然后右键单击块，执行出现的“Decrypt block”命令，在
出现的“Block encryption”窗口中输入密码，确定后块就解密了，块上面加密的符号消失。

注：要求S7-300的CPU的固件版本为V3.2 或更高，S7-400 CPU的固件版本为V6.0或更高。

已加密的块不能用PLCSIM仿真。

程序块（Function，简称FC）是由用户编写的、不需要专门数据块的常用逻辑块。

FC块在程序中一般不可以重复调用，在大多数场合，FC块应直接使用PLC 的“绝对地址”或“符号地址”进行编程，但根据需要，可以定义部分程序变量。

与S7-200 -样，FC块的“临时变量”同样存储在局部变量数据堆栈（L）中，这一区域为全部程序块所公用，只可以用于FC块内部使用的中间运算结果寄存（这些中间运算结果不可以用于FC块外部）；程序块执行完成后，局部变量数据堆栈内的数据将被其他块所需要的内容所替代。

如果需要保存可以用于其他逻辑块的状态，应使用PLC的内部标志寄存器M或使用“数据块DB”。

在程序块FC中，有部分为PLC生产厂家所提供的、集成在S7 CPU操作系统中的逻辑块，称为系统程序块（System Function，简称SFC）。

系统程序块SFC 属于PLC内部操作系统的一部分，用户不需要编写，也不可以对其进行编辑，但可以根据需要直接调用。

艾驰商城是国内最专业的MRO工业品网购平台，正品现货、优势价格、迅捷配送，是一站式采购的工业品商城！具有10年工业用品电子商务领域研究，以强大的信息通道建设的优势，以及依托线下贸易交易市场在工业用品行业上游供应链的整合能力，为广大的用户提供了传感器、图尔克传感器、变频器、断路器、继电器、PLC、工控机、仪器仪表、气缸、五金工具、伺服电机、劳保用品等一系列自动化的工控产品。

如需进一步了解台达PLC、西门子PLC、施耐德plc、欧姆龙PLC的选型，报价，采购，参数，图片，批发等信息，请关注艾驰商城/。

S7-300/400破解的小办法方法1:请先打开《MMC读卡软件》，破解300时先用普通MMC读卡器(电脑城、手机店有售，10元左右或您的电脑本身就有),读出S7-300的MMC卡.在软件窗口选择对应然的移动磁盘，按一下《读取》按钮，这时在弹出的‘建立文件’对话框中输入你要建立的文件名，点击《确定》按钮，读取开始了......待读取完成，S7-300密码就会出现，看下图。

有了密码这样你就可以在线把程序下下来.切记!!如果出现《格式化》对话提示请及时退出, 退出后在重新载入.否则出现数据或程序丢失概不负责.附赠一个300-400卡写入软件（写卡软件未加密直接解压打开就是）,当你不小心将卡格式化,一般情况就报废了,因为数据格式不同，有此软件可写入映像数据,可在PLC重新下载程序使用.方法2:通过上面的方法你已经破解了plc密码，但是如果你以后再次使用，又忘记了密码，而读取MMC卡又相当费时（要10－20分钟），那么一个更为方便快捷的方法又来了－－－刚才您已经建立了一个名为***.s7img的文件，那么现在您再用<MMC卡解密>这个软件打开该文件，按一下<密码>下的<S7-300>，稍等密码就会出现。

有了密码这样你就可以在线把程序下下来，如果程序加了锁再用<S7程序解密>这个软件解锁即全搞定. 这也是唯一能破解300-400的软件。

S7程序解密：S7程序解密,用于加锁解锁S7 300/400的OB、FB、FC、DB块。

当你有解密软件解密后将程序上传到电脑后,很多程序块是加了密的,只能显示一个个小锁,有此软件可轻而易举打开.使用前请备份原Project以防不测。

MMC被误格式化的救星来了！可以将MMC整个打包读出来写成一个IMG文件，就象你原来用HD-COPY给软盘做的IMG 镜象文件一样。

当然被误格式化成电脑文件格式的MMC卡也可以用附带的标准IMG文件来恢复。

西门子 S7-1500 PLC系统时钟在动态加密程序中的应用摘要：西门子 S7-1500PLC 系统时钟在自动控制系统中的应用非常广泛。

文章针对 S7-1500PLC 系统时钟在动态程序加密中的应用进行分析。

通过工业现场实例结合TIA V16 对 S7-1500PLC 系统时钟的应用进行分析，希望能为相关专业技术人员提供参考。

关键词：西门子；S7-1500PLC系统时钟；博图软件；加密；引言：西门子 S7-1500 PLC 是模块化 PLC 系统，它主要由电源模块、CPU模块、接口模块、信号模块以及通讯模块等模块组成，能够满足大、中、小等不同控制规模的性能控制要求，所以它在工控行业中的应用非常广。

在工业现场控制以及工业生产中，时间是最为常用的参数，其应用非常广泛。

非标行业是一个特殊的行业，面对设备发货到现场后迟迟不肯付款的和找各种理由拒绝搪塞验收的客户，必须的采取非常的手段，其中给设备加密定时锁机是一种优选的方案。

一来可以提醒客户要遵守规则要求，按时验收，按时付款，二来不会给客户造成任何的损失，三来避免走法律途径冗繁的手续和律师代理费。

1.通过工控电脑进行系统时钟的设置现在很多现场控制均会使用“工控电脑”，以方便现场对 PLC 程序的上传、下载、监控以及修改等操作。

这时我们可以将 PLC 的系统时钟校准为该工控电脑的系统时间即可。

具体操作步骤如下：第一步：将工控电脑的系统时间修正为当前的北京时间；第二步：打开西门子博图V16编程软件，然后用网线连接工控电脑与PLC的程序监控PN接口。

第三步：根据如图所示的步骤打开程序窗口，点击“在线和诊断”进入下图所示界面，点击图中的“PG/PC获取”，软件会自动获取当前工控电脑的时间。

第四步：然后点击“应用”按钮，再点击 CLOSE 退出即可。

到此时，PLC的CPU内系统时钟就会与工控电脑的系统时钟相一致，接下来就可以进行应用系统时间来编写动态码和解密密码程序了。

S7-300/400 的编程语言与指令系统1. S7-300/400 的编程语言1.1 PLC 编程语言的国际标准IEC 61131 是 PLC 的国际标准，1992～1995 年发布了 IEC 61131标 准 中 的 1 ～ 4 部 分 ， 我 国 在 1995 年 11 月 发 布 了 GB/T15969-1/2/3/4(等同于 IEC 61131-1/2/3/4)。

IEC 61131-3 广泛地应用 PLC、DCS 和工控机、 “软件 PLC”、数控系统、RTU 等产品。

定义了 5 种编程语言：西门子称为语句表 STL。

1) 指令表 IL(Instruction list)：西门子称为结构化控制语言（SCL）。

2) 结构文本 ST(Structured text)3) 梯形图 LD(Ladder diagram)：西门子简称为 LAD。

：标准中称为功能方框图语言。

4) 功能块图 FBD (Function block diagram)：对应于西门子的 S7Graph。

5) 顺序功能图 SFC(Sequential function chart)1.2 STEP 7 中的编程语言梯形图、语句表和功能块图是3 种基本编程语言，可以相互转换。

1．顺序功能图(SFC) ：STEP 7 中的 S7 Graph2．梯形图(LAD)直观易懂，适合于数字量逻辑控制。

“能流”(Power flow)与程序执行的方向。

3. 语句表(STL)：功能比梯形图或功能块图强。

4．功能块图(FBD) “LOGO！”系列微型 PLC 使用功能块图编程。

5．结构文本(ST)：STEP 7 的 S7 SCL（结构化控制语言）符合 EN61131-3 标准。

SCL 适合于复杂的公式计算、复杂的计算任务和最优化算法，或管理大量的数据等。

6．S7 HiGraph 编程语言）来描述异步、非顺图形编程语言 S7 HiGraph 属于可选软件包，它用状态图（state graphs序过程的编程语言。

S7-200程序加限期密码
所有跟加密相关的内存区有一个检验机制，只要修改其中一个数据，校验通不过，马上进入锁定状态，没有源程序很难用简易的方法绕过。

这个是后台加解密的界面（进这个后台需要较高的权限，客户进不了）
产品编号是随机生成的，加/解锁按钮每操作一次都会随机变一次
计时不依赖系统时钟实际上计的是上电时间，24小时计一天，每次断电上电操作会增加1小时。

即停机不是一个精确的日期，但可以根据客户的生产繁忙程度，适当的估算时间，只要保证动作的时间不比合同约定的时间早就可以了，反正它最终会生效。

时限前一星期，每5分钟弹出一次：
客户解码界面：
密码是根据编号计算出来，有一个7天的延时码（给客户打款时间）和一个最终解锁码
加密源程序
LD SM0.0
MOVW #密码天数:LW1, AC0
+I +7, AC0
AW>= 运行天数:VW740, #密码天数:LW1 LPS
A #密码锁级别:L0.0
S 密码警告:V1000.0, 1
LPP
AW>= 运行天数:VW740, AC0
LPS
A #密码锁级别:L0.0
S 密码总锁:V1000.1, 1
LPP
AN #密码锁级别:L0.0
R 密码总锁:V1000.1, 1
R 密码警告:V1000.0, 1。

S7-200SMART加密方法S7-200SMART加密分类：1、对CPU加密；2、对项目加密；3、对POU加密一、组态系统安全（CPU加密）单击“系统块”(System Block)对话框的“安全”(Security) 节点组态CPU 的密码及安全设置。

图1. 组态安全窗口注：密码可以是字母、数字和符号的任意组合，区分大小写。

（1）密码保护权限级别CPU 提供四级密码保护，“完全权限”（1 级）提供无限制访问，“不允许上传”（4 级）提供最受限制的访问。

S7-200 SMART CPU 的默认密码级别是“完全权限”（1 级）。

CPU 密码授权访问CPU 功能和存储器。

未下载CPU 密码（“完全权限”（1 级））情况下，S7-200 SMART CPU 允许无限制访问。

如果已组态比“完全权限”（1 级）级别更高的访问权限并下载CPU 密码，则S7-200 SMART CPU 要求输入密码以访问下表定义的CPU 操作。

即使密码已知，“不允许上传”（4 级）密码限制也对用户程序（知识产权）进行保护。

4 级权限无法实现上传，只有在CPU 没有用户程序时才能更改权限级别。

因此，即使有人发现密码，您也始终能够保护用户程序。

表1. S7-200 SMART CPU 密码保护权限级别（2）通信写入限制可对V 存储器特定范围的通信写入进行限制，禁止对其它存储区进行通信写入（I、Q、AQ 和M ）。

要对V 存储器特定范围的通信写入进行限制，选中“限制”(Restrict) 复选框，以字节为单位组态V 存储器范围。

此区域可小到没有字节，大到整个V 存储器。

使用此功能，用户程序可先验证写入此存储器子集的数据，然后再在应用程序中使用数据，以获得更好的安全性。

请注意，这些限制只适用于通信写入（例如从HMI 、STEP 7-Micro/WIN SMART 写入或PC 访问），不适用于用户程序写入。

如果限制对V 存储器特定范围的写访问，确保“文本显示”模块或HMI 只在V 存储器的可写范围内写入。

S7-1500几种程序保护的方法
S7-1500和S7-300/400的程序保护方法并不完全相同
1、读取保护
在硬件配置中，打开PLC属性---保护，可以根据需要设置访问权限。

当选择除“完全访问权限（无任何保护”之外的三种保护等级时，需要设置访问权限密码。

保护等级：无任何保护、写保护、读写保护、完全保护（上位机通讯时需要输入密码）
2、程序块的专有技术保护
1500CPU程序块，包括OB、FC及FB均支持加密功能。

DB也支持加密功能，加密后属性为只读，可以看到变量，但不能添加、删除变量。

右键选中需要保护的程序块，点击专有技术保护，点击定义，输入密码确定即可。

当再次打开有保护的程序块时，则需要输入密码才可以查看，如果不输入密码，则不能打开；
3、程序块的的防拷贝保护
该保护可分为两种：绑定存储卡的序列号和绑定CPU的序列号，两者只能选其一。

建议选择绑定存储卡的序列号，如果激活该功能，在下载程序时，会自动比对序列号，如果与实际存储卡的序列号不一致，则无法完成程序下载。

4、物理保护：
通过铅封或锁具（锁孔直径约3mm）对PLC进行物理加锁来进行访问保护。