发布于:2011-08-11 11:50:11
来自:电气工程/工业自动化
[复制转发]
S7-200cn
4级密码解密教程(4级替换系统块的方法)
经过几天实验,终于把200cn4级破解,同行一直保密,我今天就公布详细破解方法,大家互相学习
S7-200CN
(新版
PLC
)
4级解密
是CN解密的关键技术,我们先看看西门子官方说法:
破解S7-200CN 02.01版(新版PLC)解密分3级解密与4级解密:3级密码破解比较简单,芯片读取完数据后保存为BIN文件后,你就可以直接用“S7-200拆机解密软件”就可以显示密码了。
新版本的S7-200cn 02.01版plc新增加了第4级保护,就是禁止读取和写入,无论你是否已知密码,都无法上传PLC中的程序。破解这种加密的PLC确实有一定的难度。我们破解4级密码思路是:大家都知道西门子的程序都是分为程序块、数据块和系统块的,密码就是在系统块里的,在BIN文件里是分别保存的,但是4级的你读取了密码也不能上载程序,所以要把4级修改成3级或更低级,但是如果你只修改密码保护级别,又牵扯到一个关于块的校验码的问题,校验错误同样不能上载程序或上载来是空白程序,并且PLC故障灯报错。
在拆机解密之前,请先用西门子4.0以上的编程软件“STEP 7-MicroWIN”读取一下PLC,第一确定PLC的加密等级,第二确定PLC的通讯波特率与PLC地址。
方法:1 烙下需破解的plc24c芯片读出4级加密的bin文件保存。
2 安装运行“Hex Workshop”软件,打开4级的BIN文件,把密码等级(226cn为a5f7,224cn为5ebf)04级改为03级保存,然后用“S7-200拆机解密软件”读出bin文件密码。
你就可以直接运行此套软件包里的“S7-200拆机解密软件”直接就可以显示密码了。
描述:替换的系统区图片:
描述:密码等级和密码区
图片:
申明:内容来自用户上传,著作权归原作者所有,如涉及侵权问题,请点击此处联系,我们将及时处理!
全部回复(1 )
只看楼主 我来说两句 抢板凳4 我们用已知同型号的CPU,相同密码的3级加密的整个系统块来替换末知的整个4级加密系统块,程序块、数据块不动。 系统块在BIN文件中的位置:(226cn系统块为a55a到a71f,224cn系统块为5e22到5fcf),用“Hex Workshop'打开你刚才所保存的4级的BIN文件,再打开先前得到的已知同型号的CPU,相同密码的3级加密的bin文件,举例226CN。看图,你拖动鼠标选择a55a到a71f之间的数据,然后在选择区域右单击鼠标,在随后弹出的选择框中点击“复制”,然后点击激活你要破解的4级BIN文件,找到相同的地址,就是开始位置的a55a数据到a71f的数据,记住替换只能是相同cpu同版本替换,并且所有块的起始位置都是从a55a开始的,这是规律。你现在可以在4级密码文件选中的数据文件上单击,在弹出的选择框中选择“粘贴”, 你可以点击保存,原有的4级系统块就被替换成3级系统块,重新写入24C芯片, 再用热风枪焊接,安装、上电,这时PLC如果没有报错误的话就可以上载程序了,4级加密成功破解。
编程器我用FY-2005K,现在升级到FY-2009A了,24c芯片引脚焊细铜丝放编程器读的,plc上烙下24c芯片后的地方也焊了8根细铜丝,这样24芯片就很好搭焊试机,成功后再把24芯片焊回板上。焊时注意静电,漏电,芯片方向。
我先说说CPU222cn的相关位置:密码等级1E8D,密码位置1E8E-1E95,校验码位置1F3C、1F3D.
224cn密码区:5ec0到5ec7.
226cn密码区:a5f8到a5ff.
224密码区:3e76到3e7d.
226密码区:a690到a697.
222密码区:1e76到1e7d .
原来4级改3级BiN文件输入24C芯片,装回需要解密的PLC,PLC的内存,程序,数据块没变,只是系统块变了,只要上载程序就把原来的内存,程序,数据块上载来了,如果不能和其他触摸屏通迅,就修改系统块里的设置,让他通迅上…你们多试试。
你要是研究的多了就会发现块里的每一个地方都代表一个系统设置,最开始是块 的大小。接下来是作者和编辑时间记录,然后是掉电保持设置数据,再其次通讯波特率。站号。都在块里面,虽然不能修改校验码,但是只要有原文件是完全可以还原的
S7-200CN拆机解三级四级密论坛上已经有公开的了,我的博文和QQ日记上也有教程,不过其四级解密方法是采用已知密码低加密等级的系统块置换方法,实在有点麻烦,并且会丢失原系统块的数据。于是才让我想要找校验码计算方法,因为没有PLC的原因,才拖了一段时间,不过在我拿到S7200CN PLC一天半的时间就搞定了算法,有的人可是花了3年还没算出来,其实算法也不算很复杂,只要有足够的S7-200CN拆机读芯的BIN,相信你也能找出规律来的,我就是先采样了55个BIN,然后才找出规律。规律找到了,编个软件来算就容易了。
有一种比较笨的方法是让PLC来算校验码的,这种方法的前提要搞清楚BIN中的系统块的每一个数据对应于系统块每一个参数意义,用已知密码的低加密等级(1-3级)的同型号的系统块置换4级加密的系统块,如果另有一个同样型号的PLC,则可以在这个空的PLC上先设定系统块参数使之与要解4级密的PLC的系统块的参数一模一样(参数通过要解密的PLC的BIN推导出来的),但等级设成低加密等级,密码设成已知的,或干脆不设密码,传入PLC,这时用读芯工具读出这个已知的PLC的BIN,就能得到参数一模一样的低加密等级的系统块和校验码了。
如果没有同型号的PLC,则只能在要解4级密的PLC上动作了,这时要先备份要解4级密的PLC内存数据,因为如果没有备份就可能丢失内存停电保留的数据,然后用读芯工具读要解4级密的PLC的BIN,内存备份和BIN要保存好,这可是救命稻草。
接下来清空PLC所有数据包括程序块数据块和系统块。写一个系统块参数为默认参数,程序为空或任意程序无所谓,传入PLC,用读芯工具读出BIN,从这个BIN里找到系统块相应位置,按照论坛上公布的方法置换系统块,把置换好的BIN写入PLC里,这时可以读出程序了,但系统块为默认的,还需恢复系统块,通过要解密的PLC的BIN推导出来的系统块参数,进行修改,修改后再把备份的内存数据进行还原。这时4级解密才算完美成功。如果你解密多了,每一型号的BIN都有了,就省了清空PLC这步骤了。
用校验码算法就简单的多,用我上一篇文章介绍的方法读出BIN,改一下等级为3级,算一下校验码,改一下校验码,写回芯片,就大功告成了,如里你连读芯工具不懂的在哪些买、不明白怎么操作,不明白BIN怎么修改、内存怎么备份、参数怎么推导,可以找我,我有详细的教程,校验码计算也可以找我,我帮你算,包你成为S7200CN解密的专家。QQ121667231 13682291256
回复 举报