破解PLC密码28845.pdf

《破解PLC密码28845.pdf》由会员分享，可在线阅读，更多相关《破解PLC密码28845.pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、采用软件侦听法解除 Omron PLC 读取保护 1 引言 随着自动化控制技术的发展，plc 在工业过程控制领域中发挥着越来越重要的作用。omron plc 在各种机器设备上应用较为广泛，设置了 plc 程序读取加密保护的设备出现问题时，设备制造商由于倒闭或其它原因，往往不能提供密码，无法及时监控程序、分析故障原因，给设备故障的分析、解决带来很大的不便。另外，一但 plc 的模拟量或数字量输入、输出端口损坏，即使模块有备用通道，由于程序加密无法修改，也只能整体更换相应模块，增加了设备的维护成本，给设备维护工作带来很大不便。为了解决加密保护设备的质保后期生命周期管理问题，我们可以通过串口监测软件

2、对 omron plc 与 plc 编程软件进行密码输入与输出时的串行通讯数据进行监视、拦截通讯帧，再对通讯帧进行对比分析，反复实验，可以实现对 plc 内部保留协议的侦听测定；再使用 vb 等编程软件采用枚举法编制程序获取密码。2 监测的原理和方法 监测通讯硬件基础 串行通讯端口(serial communication port)在控制系统中一直占有极重要的地位，主要有rs232 和 rs485 两种通讯方式。现在的计算机上广泛采用的是美国电子工业协会 eia(elect-ronic industry association)制定的 rs232c 串行物理接口标准，rs 是英文“推荐标准”

3、的缩写，232 为标识号，c 表示修改次数。对于一般双工通信，仅需几条信号线就可实现，如一条发送线、一条接收线及一条地线，同时具有两个方向的传输能力是“全双工”(double duplex)的数据传输。目前，大多数 plc 制造商都生产与 rs232c 相兼容的 plc 通讯模块或plc 编程接口转换电缆，我们可以用计算机通过 rs232c 通讯接口实现对大多数 plc 的编程或通讯。理论上，我们可利用串口调试软件截获并记录数据发送线、接收线串行传输的数据，实现对计算机及 plc 通讯信息的监测、分析。数据监测的实现方案 实现数据监视一般有两种方法。(1)rs232c 引脚信息截获。由于串行端

4、口是通过传送、接收引脚实现数据传递的，只要能将传送、接收引脚的信息截获出来，就可以完成对整个串行通讯的数据监视。在计算机常用的 db-9 的 rs232c 通讯接口中，2 脚为数据接收端，3 脚为数据发送端，5 脚为公共的地线。例如某一计算机 com1 口和 plc 等现场监控设备之间进行正常的数据通信时，可用该计算机com2 口或其它计算机的 com 口接收端 2 脚连接正常通讯 com1 口的 2 脚或 3 脚监视其接收或发送的数据，为保证通信正常，端口初始化必须设置相同的参数。在通讯正常时，可以得到pc 发出的命令帧以及 plc 发回的响应帧的数据。(2)端口侦探(portspy)。选择

5、不占用串口资源对串口通讯的数据进行监测的软件，如端口侦探(portspy)。该程序主要是针对电脑串口(com)和并口(lpt)的调试与监测，是一款综合型调试软件，其串口监视功能，可以在不占用串口资源的情况下对串口发送和接收的数据进行捕获，如图 1 所示。图 1 串口监控软件界面 两种检测方法，方法 1 比较通用，但需要分别测定 pc 的命令帧及 plc 的响应帧后，再综合进行分析，当通讯数据较多时，操作较为繁琐。而方法 2 测定的命令帧和响应帧可按照通讯顺序依次排列，操作简单方便，可以直观地看出数据的流向便于分析协议，在本文中相关测试采用采用方法 2 进行数据监视。3 测定 omron plc

6、 内部保留通讯协议的实例 omron plc 通讯协议格式 本次测试使用的是 c200he plc，它是 omron 公司在 c200h 的基础上推出的一种中大规模的plc，在 cpu 单元上内置了 rs232 连接器，可方便地和外部设备进行串行通讯。当然，我们也可以使用不带rs232通讯口的诸如cpm1a等小型plc，只需使用cif01接口转换电缆将plc编程口转换为 rs232 通讯口即可。c200he 采用主从通讯方式，作为上位机的计算机始终具有通讯传输优先权，所有的通讯由上位机来启动，c200he 总是处于应答的被动状态。plc 与上位机的数据通讯是以“帧”为单位进行的，帧的格式如下图

7、所示，命令帧由上位机发送给 plc，应答帧为 plc 接收到命令帧后自动向上位机发送的应答信号。命令帧：应答帧：其中，“”为起始符号；节点号为 plc 的编号(00-31)，对于单 plc 的控制系统默认为 00；识别码说明帧的功能；fcs 为帧的检查顺序，用来检查帧的传送时是否存在数据错误；*和cr 为终止符，表明帧结束。我们可按图 2 所示的通讯流程图编制程序代码，要注意的是在 plc 与上位机通信程序代码编制之前，首先要对 rs232 通讯端口进行初始化，使两者按相同的格式通讯。初始化参数包括波特率、起始位、数据位、停止位和奇偶校验等。c200he 一般设置为 9600bps、1 个起始

8、位、7 个数据位、2 个停止位、偶校验。上位机定时发送 rd(读 plc 的 dm 数据区)、wd(写 plc 的dm 数据区)、rr(读 plc 的 ir/sr 区)、wr(写 plc 的 ir/sr 区)等命令，从而使上位机自动完成与 plc 的数据交换过程。图 2 与 plc 通讯流程图 omron plc 程序读取加密保护 fun49 是专门用于对 omron plc 程序进行读取加密保护的特殊指令，一般在程序的第一行，用常开的 ar1001 触发 fun49 0 0#1234 这条指令，fun49 前面的两个操作数固定为 0，#后面就是四位密码，传送到 plc 中，plc 重新上电时

9、有效。，可以在编程软件的菜单条 plc 下保护释放密码然后输入密码就可以了，如图 3 所示。图 3 plc 读取保护设置 通讯数据截获及分析 运行 omron plc 编程软件 cxp，按照实验选用的 plc 型号建立工程，按照所述进行 omron plc程序读取加密保护；运行串口侦测软件，先选择要监测的与 plc 正进行通讯的串口(在本测试中是 com1)，显示的模式(ascii、hex)为 ascii，再输入监测延时 10ms，再按一下开始键就可以开始监测了，如果成功在下面的状态条会显示 com 监测功能已激活；使与 plc 进行在线通讯，运行所述的操作，输入正确密码，操作完成后，取消 c

10、xp 与plc 的联机状态。在串口侦测软件发送、接收数据栏中查看、分析接收到的数据，查找预先设定的密码，如图1 数据栏第一、二行所示，pc 发送“00mb31-06000012344f*”，plc 返回“00mb000400004b*”；同上操作，当我们在 cxp 中输入错误的密码“4321”时，如图 4状态栏第二、三行所示，pc 发送“00mb3106000-043214f*”时，plc 返回“00m-b000400014a*”。多次重复测试，我们可以看出，编程下载时软件将密码同程序文件一起写入plc中，操作时cxp发送的数据第14-17位是未加密发送的密码，plc根据密码正确、错误与否返回

11、相应的固定判断结果，plc 根据接收到的密码正确与否，然后在 cxp 内部实现密码的比较，提示密码输入是否正确。图 4 串口监控软件界面 通讯程序的设计 由于测试使用 c200he 密码范围为 0000 到 ffff，我们可采用 vb 编程软件使用枚举法进行编程，利用 vb 提供的具有完善的串口数据发送和接受功能的通讯控件 mscomm，实现与 plc 的串行通讯功能。程序将密码从 0000 到 ffff 依次发送进行测试，plc 返回“00mb000400014a*”判断密码错误继续测试；当 plc 返回“00mb000400004b*”判定当前测试的密码正确，程序停止工作，这样不会破坏 p

12、lc 内部的任何数据。图 5 是利用以上原理简单编制的密码读取软件界面，首先选择“测试”钮检测 plc 是否和密码读取软件处于正常的联机通讯状态，我们可通过 mscomm 通讯控件利用 c200he 通讯测试指令“ts”发送一个测试数据块，如测试顺利，下位机 c200he 收到后，返传测试命令中规定的字符，内容不改变，这样就可判断 plc 是否处于正常的联机通讯状态；然后，通过读取程序指令“rp”判断 plc 程序是否处于读取保护状态；若处于读取保护状态，则可以自动依次发送密码进行测试，直至密码正确，软件停止测试，显示密码测试结果。图 5 密码读取软件界面 图 6 所示的是测试结果，在窗口下方的状态栏提示了测试密码位 1234。图 6 密码测试结果 4 结束语 通过这种方法，我们测试出了程序读取保护的通讯协议，并通过编程实现这些协议以完成对plc 密码的解除，已在 c200he 以及 cpm1a 等 plc 中测试正确。在自动化控制领域，也可采用此种数据监视作为在线调试工具，把一些现场监控设备的工作命令及响应信息作完整的监视、分析，完成对某些未知协议的测定。作者简介 谢鸿志 男 高级工程师，供职于中国电子科技集团公司第八研究所，一直从事光纤光缆专用设备以及光纤传感器研究。