plc编程克隆有关信捷PLC保密下载破解的几个个人观点-线下实训-上海羊羽卓进出口贸易有限公司

plc编程克隆有关信捷PLC保密下载破解的几个个人观点

发布时间 : 2024-11-24

作者 : 小编

访问数量 : 23

扫码分享至微信

有关信捷PLC保密下载破解的几个个人观点

信捷的PLC密码保护形同虚设，可以读取EEPROM后，轻松的找到密码，密码在0758或者0858之后，只有6位。虽然也采用了二次加密，你看到的并不是真实的密码，但是密码算法简单粗暴，略微有点密码学知识的人一眼就能看出来。最难的就是保密下载了。这在解密业界也是一大难题，迄今为止还没有任何人能解决此问题。其难度在哪里呢？据我个人的研究，信捷保密下载采用了KEY密匙加密法。怎么个解释？保密下载后的文件是跟密码保护不一样的。保密下载后，cpu的系统存储区，会生成一个具体位数，大小不知道的密匙key文件。这个KEY会和EEPROM中的芯片数据发生运算，而得到CPU运行的真正代码，载入RAM。如果丢失了这个key，你初始化了plc，清空了PLC，就是你又还原了保存的EEPROM芯片文件，那也是无效的。为什么？？KEY文件，钥匙丢了怎么开锁？怎么打开加密的数据呢？EEPROM的数据变成了无用的数据，毫无用处了，没了KEY谁都没有办法还原数据。上面的说法是你猜测还是有证据？证据才是最重要的，才是科学的根本。有的人问我信捷的PLC你能解密吗？我说你的PLC加密了吗？⊙▂⊙这个我还真不知道，我猜肯定加密了！呵呵，要命吧！搞技术靠猜测。入正题，那么你说你有什么证据证明CPU内部藏有KEY密匙呢？你可以尝试复制、拷贝、克隆、仿造一台保密下载的信捷PLC，你不可能成功。有人会说我拷贝EEPROM芯片文件过去不就可以了吗？？你可以试试，PLC会报警，然而没有保密下载，只有密码保护的，你就可以克隆，并且不会报警，说明了什么问题？key密匙起作用了。这个key密匙并不在EEPROM芯片中，你无法获取，他是存放在CPU内部的系统存储区的，如果你得到了这个KEY，问题就迎刃而解。这是解决保密下载的根本大法。我看了有人说保密下载分为两种方式存放，一种是供编程软件读取的，一种是供CPU读取的，保密下载只下载了供cpu读取的而没有下载供编程软件读取的，这是及其错误的说法，根本不是那么回事。综上所述，解决信捷PLC保密下载的根本出路在于找出隐藏在CPU系统内部的KEY密匙，找到了你就解决了，找不到，你再怎么折腾rom芯片都无用。

这是我从其他论坛看来的，说法跟你说的不一样哦。到底谁说得对？发给大家比较看看我说的解密不是工程文件的解密，指的是从PLC读出程序的解密。信捷PLC确实不好搞，搞了一个月没琢磨出来。信捷PLC加密两种形式：一、密码这个相对好搞虽然我没研究透它的算法，但是常见的数字、字符可以算出来，一些特殊字符目前还算不出来。不过密码算法只是时间问题。二、保密下载依我看，信捷PLC的程序分为两部分，一部分是“供CPU执行用的代码”，另一部分是“供编程软件解读成梯形图的代码”。如果是保密下载的话，只存储“供CPU执行用的代码”，而没有“供编程软件解读成梯形图的代码”。如果能根据“供CPU执行用的代码”自己写出“供编程软件解读成梯形图的代码”，那么保密下载就解密成功了。文件中第4位保存的是“供CPU执行用的代码”起始地址的偏移量：1、如果为“06”，那么就是保密下载。从&H106开始就是“供CPU执行用的代码”。2、如果不是“06”这里假设为“XX”，那么从&H106开始到&H100+&HXX存储的就是“供编程软件解读成梯形图的代码”，&H100+&HXX开始是是“供CPU执行用的代码”

保密下载直接拷贝EEPROM芯片是不行的！但是我认为猫腻还在EEPROM芯片内！因为恢复芯片文件还是可以用的！所以还得研究保密下载的算法与校验方法！

回复楼上的“因为恢复芯片文件还是可以用的！”可以用那是你并没有清空plc，key文件还存在于PLC的系统存储区，你清空PLC试试，你再恢复芯片文件看看还能用吗？肯定不能。说明什么?KEY文件起作用了。

欧姆龙PLC通讯问题汇总解析

1.Cx-ProgrammerV5.0与PLC通信不稳定：

　　电脑与PLC的连接方式：电脑USB口(该电脑没有RS232串口)←→[USB转RS232电缆的USB插头←→USB转RS232电缆线(电脑已经安装驱动，且默认的COM4端口已经设置为COM1)中间部分←→USB转RS232电缆的RS232公头]←→[[电脑与PLC的连接电缆的RS232母头←→电脑与PLC的连接电缆线的中间部分←→电脑与PLC的连接电缆的RS232公头]]←→PLC的RS232母头。

　　上面单中括号内为USB转RS232电缆，双中括号内为电脑与PLC的连接电缆。电脑与PLC的连接电缆接线如下：(1).公头(用以连接PLC)的2、3、9分别与母头的2、3、5(用于连接电脑或USB转RS232连接线)短接，这是欧姆龙官方的连接方法；(2).公头和母头的2-2、3-3、5-5分别短接，这是RS232连接线的常规连接方法。后来经过实践证明：上面2种电脑和PLC的连接电缆都可以使用。第1种电缆通信稳定可靠。对于第2种电缆，当电脑和PLC之间通过VC应用程序进行通信时效果不好，容易丢帧（用串口调试助手可以看到），只有当电脑和PLC共用电源（共地）时才没有发现问题。所以，请尽量采用第1种连接电缆。

　　有时间电脑和PLC能正常通信，有时间却不行——显示“Modem已经被选中，要继续码？”故障（实际上“码”应当为“吗”），一旦出现该故障信息，就一定会出现以下故障信息：

　　当通信不上时，笔者采用过克隆回以前的正常操作系统、重新安装Cx-ProgrammerV5.0编程软件等方法，又可以正常通信了，但一旦断线后又可能通信不上了。有几次还发现，有些程序可以和PLC通信上，而有些程序却不行！因此，笔者就将可以通信的PLC程序先备份，然后全部删除程序中的指令，最后将目标程序的指令全部复制过来（复制时注释可以自动复制过来），这样居然电脑就可以正常和PLC进行通信了！但是——下一次这个程序可能又无法正常通信了！郁闷……

　　根据通信错误信息“Modem已经被选中，要继续码？”，笔者找到了解决方法：在桌面上右击“我的电脑”,再点击“属性”——“硬件”——“设备管理器”，再双击“调制解调器”，再右击展开的调制解调器型号，点击“停用”就可以了。

　　另外，正确连接方法如下：在电脑没开机或（和）PLC没通电（否则带电拔插通信口可能造成通信口损坏(虽然这种几率不大，但你最好不要去碰运气)）的情况下连接好USB转RS232电缆、电脑与PLC的连接电缆，然后再通过Cx-Programmer连接电脑与PLC。

　　请注意：USB口也不是随便乱插就可以的，关键要保证设备管理器里的RS232口为COM1。笔者的电脑上是这种情况：最初已将默认的RS232口从COM4口改为COM1口，但插下面的USB口却对应RS232的COM4口（COM1、COM3正在使用），无法连接电脑与PLC；插上面的USB口对应RS232的COM1口（COM2、COM4正在使用），可以连接电脑与PLC。

　　2.Cx-ProgrammerV5.0与PLC通信干扰：

　　如果Cx-Programmer在线，电脑和PLC已经连接，处于通信状态下，当每次设备停机时（将近20个交流接触器同时断开）Cx-Programmer将会出现通信错误，电脑和PLC连接中断。而当每次开机时（将近20个交流接触器同时吸合）却不会出现通信错误的情况。

　　解决方法：重新连接PLC。如果你是个完美主义者，可以在每个接触器线圈上加一个RC阻容模块（每个RC模块大概60个大洋左右），也许不会出现通信错误的情况（不过笔者没有试过哟...）。

　　3.电脑与PLC的连接电缆试验：

　　因为想到电脑与PLC的连接电缆（第1种常规的连接电缆）为2-2短接、3-3短接、5-5短接，所以考虑直接用USB←→RS232电缆将电脑和PLC连接起来，如果这样可以的话不就省了一条连接电缆了吗？下面是直接用USB←→RS232电缆将电脑和PLC连接起来的试验结果：

　　有时间第1次通信时出现以下错误：“所选的端口被另一个应用所占用”；第2次通信时出现以下错误：

　　为什么电脑通过上述两种连接电缆与PLC连接没有问题，而直接采用USB转RS232电缆线与PLC连接却不行呢？以下是分析过程：

　　第1种可能：阻抗的原因。虽然上述两种连接电缆为直连线，却有阻抗存在，多了这个阻抗就可以正常连接。但这个原因好像很牵强，连笔者自己都不能相信。

　　第2种可能：该USB转RS232的公头与PLC的母头接触不良，而加一根电缆却能连接正常——USB转RS232的公头与连接线的母头接触良好，连接线的公头与PLC的母头接触良好。该猜测来源于笔者遇到过的一次电脑故障：某台电脑的鼠标无法使用，另外换一个鼠标正常，把故障鼠标换到其它电脑却能正常使用。最后怀疑鼠标接头与主板插口接触不良，就将鼠标插头破开再涂上一层焊锡，结果使用正常！但是对于USB转RS232的公头与PLC的母头接触不良这种猜测，笔者觉得可能性不大——因为他解释不了“所选的端口被另一个应用所占用”这个故障。

　　最后想到了另外一个可能：USB转RS232直接与PLC连接就相当于USB转RS232的串口与PLC的串口1-1、2-2、3-3、4-4、5-5、6-6、7-7、8-8、9-9一一对应连接，而通过连接线却只有2-2、3-3、5-5三对端子连接，这说明1-1、4-4、7-7、8-8、9-9至少有一对是不能连接的，否则就会出现问题，而且这还既有可能损坏PLC与电脑的通信端口。