PLC解密
西门子S7-200 SMART全线告破 4级密码POU加密亦可破解
西门子Smart解密 该测试软件删除了解密功能,限制了只能读取1000个内存数据,其他未受限
读取按钮可以用来备份内存,并且是西门子官网软件所不具备的功能。
选择备份的保存路径
妥善保存备份的Excel文件
备份出来的SMART内存备份。
也可以写入数据
可以将这个备份并修改后的写入到PLC
写入PLC数据的格式:分别是地址、格式、当前值、新值。选中这四列内容。
贴到SMART软件中点击全部写入图标。数据就写入到PLC中了。注:一次最多只能写入150个数据。
Smart项目密码清除工具
Smart子程序POU密码破解补丁来源:www.plcjiemi.com
对于S7-200 PLC你要是不需要那个程序,可以把它清除掉,步骤如下:如果忘记 PLC 密码,您必须清除 PLC 存储区,重新载入程序。清除 PLC 存储区使 PLC 进入 STOP(停止)模式,并将 PLC 复原为工厂设置的默认值,PLC 地址、波特率和实时时钟除外。
欲清除 PLC 中的程序:1. 选择 PLC > 清除叄–lear)菜单命令,显示“清除”对话框。2. 选择所有的复选框,并点击“确认”按钮核实采取的措施。3. 如果密码已被配置,STEP 7-Micro/WIN 会显示一个密码验证对话框。欲清除密码,在密码验证对话框中输入 CLEARPLC,继续执行“全部清除”操作。(CLEARPLC 密码不区分大小写字母。)
“全部清除”操作不从存储卡中拆卸程序。因为存储卡存储密码和程序,您必须重新对存储卡进行编程,才能拆卸丢失的密码。
一:拆机解密,经实践,已证实此方法可以破解迄今为止市面所售的所有西门子S7-200PLC(进口,国产CN型)的密码,型号包括(212、214、216、222、22CN、224、224CN、224XP、224XP CN、226、226CN、226XM)轻松破解3级和POU密码。是迄今为止最为先进且真正实用的解密方法,直接读取PLC的EEPROM芯片获取密码。(注:目前市面上没有纯软件可解西门子S7-200CN新版,必须通过拆机来解密)
二:在拆机解密之前,请先用西门子4.0以上的编程软件“STEP 7-MicroWIN”或西门子S7-200内存读写工具,读取一下PLC,第一确定PLC的加密等级,第二确定PLC的通讯波特率与PLC地址。用“西门子S7-200内存读写工具”读出PLC的内存数据,(断电保持的数据等)四:按照西门子的PLC的安装说明拆开上盖,拆下CPU板,找到24CXX芯片,用电烙铁或风枪拆下EEPROM芯片来。(注:CPU221CN,CPU222 CN EEPROM芯片是24C64,CPU224 CN,CPU224XP CN EEPROM芯片是24C256,CPU226 CN,CPU226XP CN EEPROM芯片是24C512,其他型号的PLC可以不用拆机解密,解密软件网络上下载
三:接下来下一步开始读EEPROM芯片,把芯片和编程器焊接 好后,先插DB9的数据线,5V供电采用USB,然后再插USB供电,打开软件PonyProg2000-CN设置一下通讯端口后点击读取器件,保存。注意保存此文件将来用它可以恢复PLC至拆机前的状态。
四:S7-200CN(新版PLC)解密分3级解密与4级解密:3级密码破解比较简单,芯片读取完数据后保存为BIN文件后,你就可以直接运行此套软件包里的“S7-200拆机解密软件”直接就可以显示密码了。然后把芯片焊回CPU板上就可以用密码上载程序了。
S7-200CN(新版PLC)4级解密是CN解密的关键技术,我们先看看西门子官方说法:
一:新版本的S7-200plc新增加了第4级保护,就是禁止读取和写入,无论你是否已知密码。都无法上传PLC中的程序。破解这种加密的PLC确实有一定的难度。破解4级密码思路是:西门子的程序都是分为程序块、数据块和系统块的,密码就是在系统块里的,在BIN文件里是分别保存的。但是4级的你读取了密码也不能上载程序,所以要把4级修改成3级或更低级,但是如果你只修改密码保护级别,又牵扯到一个关于块的校验码的问题,校验错误同样不能上载程序或上载来是空白程序,并且PLC故障灯报错。我们能否用已知3级加密的整个系统块来替换末知的整个4级加密系统块,程序块、数据块不动。这样,我们就能够破解S7-200CN plc第4级的加密保护。这就是最简便容易破解4级保护的方法。也是目前唯一的便捷解密之法。
二:打开4级的BIN文件,把(226cn为a5f7,224cn为5ebf)04级改为03级保存,然后用“S7-200拆机解密软件”读出bin文件密码,此时读出的密码就是排列成的密码,但是文件不能写回24C的否则PLC报错。224cn密码区:5ec0到5ec7. 226cn密码区:a5f8到a5ff. 224密码区:3e76到3e7d. 226密码区:a690到a697. 222密码区:1e76到1e7d .
接下来我们现在要找出系统块的在BIN文件中的位置:那么块的位置在哪里呢?请安装winhex软件,。打开你刚才所保存的4级的BIN文件,再打开同型号的CPU型号的3级文件,举例224CN。看图,你拖动鼠标选择5e22到5fcf之间的数据,然后在选择区域右单击鼠标,在随后弹出的选择框中点击“复制”,
然后点击激活你要破解的4级BIN文件,找到相同的地址,就是开始位置的5e22到5fcf的数据,记住替换只能是相同cpu同版本替换,并且所有块的起始位置都是从5e22开始的,这是规律。你现在可以在4级密码文件选中的数据文件上单击,在弹出的选择框中选择“粘贴”,你可以点击保存,原有的4级系统块就被替换成3级系统块,重新写入24C芯片。再用热风枪焊接,安装、上电,这时PLC如果没有报错误的话就可以上载程序了。CPUU226CN替换系统块a55a到a71f,最后把停电保持数据等恢复回去至此。S7-200CN(新版PLC)4级加密已成功破解。如果没有三级密码的同型号的BIN文件可以采用以下方法,备份好读出的文件,执行PLC清除操作,在系统块里设置好3级密码,下载到plc里,在读出BIN文件,复制系统块。替换