|
|
|
|
发表人:qq63223446 |
发表时间:2011/4/6 14:34:00 |
|
 发表新论题
|
| 本栏论题: |
欧姆龙CP1H密码*解大讲坛。。。 [12532] |
欧姆龙CP1H密码*解大讲坛。。。
大家好:今天开坛希望各路英豪都能共聚一堂,共商解密大事!
在此之前一直没机会接触omron的PLC,终于有一天,得到了一位好心网友的帮助,借到一台CP1H plc,经过几天的研究,得到了不少的知识,今天毫无保留的全部公布出来,因为刚刚开始,难免会有失误之处,不过没关系,“失败是成功他娘”嘛!在此之后我会经常的更新帖子,把最新的*解进程发到这里,更正失误之处。
其实现在CP1H解密已经不是什么难题,国内确实已经有10几家早已*解,然而现在这个解密一直还是在销售,也一直没有人公布出来。现在软件已经开始销售,照此下去,即使我们不公布,离软件泛滥的日子也不远了。至于这样会不会*坏解密人的财路问题,因为我没有得到过任何一个解密人的帮助,所以在此也就不用说“对不起了”,各取所得吧!也请热心网友协助我,走好这条CP1H解密之路。
解除任务读保护密码
大家先打开这个在本论坛下载的程序文件任务读保护.rar下载次数:317 ,打开后左侧 有这样的画面
加锁了,怎么办呢?好办! 请打开PLC属性对话框,在对话框里选择 保护,就出行如下画面
任务读保护密码框发灰,不知道也修改不了密码,那么一个专业工具,星号查看器 来了,认识一下看下图
你按照界面说明操作,星号查看器就显示了密码,看下图
关于本软件请到这里下载 星号查看器.rar (26 K) 下载次数:282
功能块密码*解
要*解这个密码你首先下载这个例子,也是本坛的网友上传的,我引用一下功能块密码.rar下载次数:191 当你打开程序后会发现,功能块上加锁了
,你怎么点都显示不了程序画面,再使用上免的方法已经不灵了。那么一个新的工具又来了,就是 按钮突*器 按钮突*器.rar下载次数:222
现在你右单击带锁的功能块点击属性》保护,就是如下画面
看到了保护状态是 禁止写入和显示,只要知道这个密码,点击 释放 按钮就可以显示了,然而你并不知道密码啊,怎么办?这么办,现在你可以点击运行按钮突*器 打开后是如下画面
按钮突*器打开后你把鼠标放到 功能块属性 画面上,发灰的地方全部点亮了,
这时你可以双击设置按钮,
不用输入密码,再点击 设置按钮,又回到了刚才的状态,看上去并没有什么变化,然而密码已经被你修改掉了。这是你再双击 释放 按钮 出现如下画面
这时你还是不用输入密码,直接点击释放按钮保护状态框里现在显示无保护了,
关闭,再看看刚才加密的功能块,锁没了,双击打开了。。。
UM读保护密码*解
知己知彼、百战不殆!首先你要知道加密层次等级。这个要看A99CH,关于这个使用手册有详细的说明,OMRON官方网站也有说明,在此不在多议,简单提一下。
A99CH
00位 UM 读出保护状态 以PLC(用户程序全体)单位表示是否设定了读出保护。0:没有设定UM 读出保护
1:设定UM 读出保护
01 任务读出保护状态 以任务单位表示是否设定了读出保护。 0:没有设定任务读出保护
1:设定任务读出保护
02 读出保护设定时的程序覆盖禁止/允许设定状态表示程序覆盖允许/禁止状态。 0:允许中
1:禁止中
03 读出保护设定时的,向程序的存储盒备份允许/禁止状态表示程序的存储盒传送允许/禁止状态。 0:允许中
1:禁止中
12 UM 读出保护解除禁止/允许状态在UM 读出保护设定的状态下,表示是否接受其解除 0:允许UM 读出保护设定的解除
1:禁止UM 读出保护的解除
13 任务读出保护解除 禁止/允许状态 在任务读出保护设定的状态下,表示是否接受其解除。0:允许任务读出保护的解除
1:禁止任务读出保护
这里A99的数值全部为0,说明没有任何加密
规定次数失败、存储器全部清除时、保护解除禁止经过定时间后
有人说若能够直接读出以下数据就可以解密了, 8位密码就在A527.0-----A527.7中. 这个只有你来证实了!
我觉得CP1H解密的公开那是迟早的事情,比如早期的三菱FX的解密都要3000多元啊!可是现在呢?白给都没有人要,到处都是都成污染垃圾了,没办法的事情,这就是趋势,我们也无可奈何!解密本身到底是有好处还是有坏处这个就是神仙也说不清楚,反正现在的结局是三菱的密码人人都可以*解了,都有了学习的机会,三菱公司着急了,保密的程序不敢用三菱了。
再至于解密方法与软件的扩散问题,我可以给你找一个恰当的例子,解密=核武器。美国一再呼叫和核不扩散,实施核打击。发展中国家就一个劲的研究和武器。核扩散会影响美国的利益,但是对于发展中国家来说只有拥有了核武器才能更好的发展自己。你是处于什么立场自己掂量一下吧!
我会在以后的帖子里逐步的把我研究CP1H的结果公布出来,因为是自己研究,没有受过任何人的恩惠。要真是有哪个好心的大侠给了我这个天书我再到处泄露还真有点不道德,现在是自己种菜,难道还不能拿出来卖??
现在市面主流的解密方法就是232通讯解密,关于这个方法在随后的帖子里公布,但是现在国人还没有人能够知道CP1H的密码,你若不信,你下次买软件的时候问他一下能否读出密码,回答是 否 。据我所知道的这10几个解密人中没有一个能解出密码,但我的意思并不是说他们*解不了,只是套路不同。今天公布找到密码的方法:
大家都知道CP1H的有存储盒,用来备份程序的,就是说plc的程序可以从一台转移到另外一台,这个存储盒就是中间传播媒体,大家搜索一下这个关键词,就知道存储盒是什么样的了“CP1W-ME05M”。我拆开来看过里面就是一个存储器芯片,用通用编程器直接读出来,或者自己做个专用的接口用toop系列的编程器就可以读出芯片,存储器你都读出了,密码你还找不到吗?多做实验吧,你会找到答案的。因为这个不需要动plc所以就没有风险,属于安全解密,直接找到密码,即使是没有任何电子维修经验的网友也可以做啊,反正损坏不了plc
最早我们这里的海源的压机都是用的CJ1M的plc,想换plc就直接用卡备份转移就行,因为CJ1M的卡更好读了,大家搜索一下看看这个卡吧,你只要设法读出卡文件,能做了卡的镜像文件,什么问题都解决了,这是属于温和的解密,一点暴力的味道都没有,大家不妨可以一试啊!
有一种说法,叫读机器码解密
如果CP1H没有密码保护,可以使用HOSTLINK C模式或FINS模式通讯协议用VB或VC编程轻易读出程序代码。大家都知道欧姆龙的CJ1M、CP1H可以设定UM读保护和任务读保护,在上载PLC程序时,需经过编译,PLC中的机器代码转变成梯形图。当CP1H设置了密码后,就禁止了读程序代码,通过修改CP1H时序设置值,修改时序来导致PLC的看门狗出错,这时CP1H减弱了对密码保护的限制,这时就可以载 PLC中的机器代码,先不经过反编译直接打包上传到电脑中。通过分析电脑中的PLC机器代码,找出先前通过串口监视软件得到的密码保护对应的机器代码。并修改其部分功能。然后软件开发者,用自己开发的下载工具把这些经过修改的PLC机器代码下载到另外一空白的 PLC 中。由于这个PLC中的密码保护已受到限制,所以用CXP 编程软件就可以上载到梯形图。这形同拆机解密读芯片,你如果能读出OMRON的存储器芯片,修改一下机器码也能行,看图
在左边工程区有个设置,——》时序——》监视循环时间改成4000,循环时间32000。退出设置
然后连线,在线工作,传送到PLC,单选设置打勾,其他不打勾,确定,即可
虽然上载不了梯形图,但可以读机器代码了。把读出的机器代码使用VB编程重新写入CP1H就得到了梯形图。以上解密方法完全适合于CJ1M,因为CJ1M和CP1H的通讯协议是一样的。不要使用CP1H的USB口,和CJ1M的外设口,只能使用串口读程序代码,因为协议不同。以下是在本坛找到的几个主要机器代码: LD00 OUT100 (8008 20A8 80A8)
END (1801)
AR1001 FUN49 0 0 #1234 (9EE9 1E31 0100 0100 1234)
时序数值设置错误解决办法
上回书说到,修改时序值使看门狗定时器报警出错,在PLC乱了分寸,慌乱之时我们乘虚而入,读取机器吗,这是上表,但是随后问题就出现了:
P1H时序数值设置错误 上传到了PLC,提示无法转换模式,关闭编程软件后,再次连接USB无法识别,使用RS232还是无法连接到PLC,运行灯亮。救命啊!该怎么办?PLC报废了吗?
解决办法:
方法一 可以用存储盒来重新传送系统参数!
方法二可以用PC调试软件将PLC置于编程模式,此时可以通讯!重新修改时序值!下载即可!
具体办法:
有储存盒的话把plc电源关掉,插入储存盒,把dip开关2打到on接通电源。储存盒里的程序会知道传入plc。用编程软件的话只要plc上的dip开关1没在on位置(on是不可写入,off是可以写入)只要联机把程序重新传到plc即可。
用串口调试工具,连接RS232C口,发送@00SC0050*回车。发送周期设为100,自动发送
楼主好样的!不错!另:19楼说得不对!解密人到处都有,就看那个能宰人!解密对不对我不想说!我只说一个我的现实经历:我公司的设备坏了!查为PLC烧毁!(查为里面的电源部分坏),跟厂家联系,要价4000,而且飞机来飞机去,吃的住的,还要停工一星期!自己到本地买一个全新没程序的PLC,同样的PLC,800,就是没程序!那个好办,咱们是实力派的,立马动手,把新PLC拆了,电源板换到旧的PLC上面去,装到机器上OK!耽误工期半天!在找了一个笔记本,把老PLC的密码*了,程序读出来!保存好,以备后用!这儿,我不想说啥!我公司购买了设备,可不是任由厂家宰的!而且,工作也耽误不起!耽误一天的损失是打工的难以想象的!设备厂家连基本的道德都没有了,这权我还真就侵了,又咋了?就这事,我公司还想告造设备厂家呢!还跟我谈啥侵权?事实上啥事情都不是绝对的,就看你站那个角度看!
http://www.chinakong.com/upload/upload11/201104061413178.jpg
|
|
以下是关于《欧姆龙CP1H密码*解大讲坛。。。》论题的回复(共1篇) |
|
回复人:gabranth |
回复时间:2012/7/13 11:50:00 |
|
|
|
公 司 简 介
上海润驰电气有限公司是西门子工业自动化与驱动技术集团(IA&DT)的核心分销商(一级代理商),多年来与德国西门子(SIEMENS)的长期合作中,我们为广大客户提供自动化方案的解决办法和相关产品销售、工程项目设计与开发、电气成套、系统集成等服务。公司具备强大的业务创新和技术创新能力,并将根据客户的要求提供全集成的自动化解决方案和增值服务。公司在为用户提供国内外先进工艺系统及产品设备、专业的技术支持和售后服务的同时,积累了各种大、中型工程项目经验。
主要产品有:
一、 西门子产品
1:西门子交流电机:1LA5、1LA7、1LA9、1LG4、1LG0、1MA6、1MA7、1MJ6、1MJ7、1LA8、1PQ8、1LA4等系列
2:西门子伺服电机:1FK7、1FT6、1PH7等系列
3:西门子电缆: 6FX5002、6FX6002、6FX8002等系列
4:西门子变频器: MM4、G150、G120、V50、S120等系列
5:西门子自动化产品:S7-200、S7-300PLC、HMI、低压产品等
二、 编码器产品
西门子(1XP8001),林德(leine&linde),施克(SICK),宝盟,梅尔(MEYLE),倍加福(P+F)等品牌产品进口高端光电编码器和传感器。
公司长期备有1LA7,1LG4,1LG0等电机、MM4变频器,林德、施克、西门子编码器等产品现货库存,以便满足客户的使用需求。
期待与您的沟通,让我们形成长期稳定的合作伙伴关系
联系人:何炜炜
电 话:021-61732689 15801757290 传 真:021-61732677
邮 箱:hww@sh-riches.com 网 址:www.sh-riches.com
|
|
 相关技术论坛: |
|
|
