|
描述:替换的系统区
图片: [attachimg]9515[/attachimg]
描述:密码等级和密码区
图片:
[attachimg]9516[/attachimg]
经过几天实验,终于把200cn4级破解,同行一直保密,我今天就公布详细破解方法,大家互相学习
破解S7-200CN 02.01版(新版PLC)解密分3级解密与4级解密:3级密码破解比较简单,芯片读取完数据后保
存为BIN文件后,你就可以直接用“S7-200拆机解密软件”就可以显示密码了。 新版本的S7-200cn 02.01版plc新
增加了第4级保护,就是禁止读取和写入,无论你是否已知密码,都无法上传PLC中的程序。破解这种加密的PLC确
实有一定的难度。我们破解4级密码思路是:大家都知道西门子的程序都是分为程序块、数据块和系统块的,密码
就是在系统块里的,在BIN文件里是分别保存的,但是4级的你读取了密码也不能上载程序,所以要把4级修改成3级
或更低级,但是如果你只修改密码保护级别,又牵扯到一个关于块的校验码的问题,校验错误同样不能上载程序或
上载来是空白程序,并且PLC故障灯报错。
方法:1 烙下需破解的plc24c芯片读出4级加密的bin文件保存。
2 安装运行“Hex Workshop”软件,打开4级的BIN文件,把密码等级(226cn为a5f7,224cn为5ebf)04级改为
03级保存,然后用“S7-200拆机解密软件”读出bin文件密码。
3 向同型号plc编几步程序,加相同密码的3级加密,烙下24c芯片读出bin文件,这就得到了同型号
的CPU,相同密码的3级加密的bin文件。
4 我们用已知同型号的CPU,相同密码的3级加密的整个系统块来替换末知的整个4级加密系统块,
程序块、数据块不动。 系统块在BIN文件中的位置:(226cn系统块为a55a到a71f,224cn系统块为5e22到5fcf),用
“Hex Workshop'打开你刚才所保存的4级的BIN文件,再打开先前得到的已知同型号的CPU,相同密码的3级加密的
bin文件,举例226CN。看图,你拖动鼠标选择a55a到a71f之间的数据,然后在选择区域右单击鼠标,在随后弹出的
选择框中点击“复制”,然后点击激活你要破解的4级BIN文件,找到相同的地址,就是开始位置的a55a数据到a71f
的数据,记住替换只能是相同cpu同版本替换,并且所有块的起始位置都是从a55a开始的,这是规律。你现在可以
在4级密码文件选中的数据文件上单击,在弹出的选择框中选择“粘贴”, 你可以点击保存,原有的4级系统块就
被替换成3级系统块,重新写入24C芯片, 再用热风枪焊接,安装、上电,这时PLC如果没有报错误的话就可以上载
程序了,4级加密成功破解。
编程器我用FY-2005K,现在升级到FY-2009A了,24c芯片引脚焊细铜丝放编程器读的,plc上烙下24c芯片后
的地方也焊了8根细铜丝,这样24芯片就很好搭焊试机,成功后再把24芯片焊回板上。焊时注意静电,漏电,芯片
方向。
224cn密码区:5ec0到5ec7. 226cn密码区:a5f8到a5ff. 224密码区:3e76到3e7d.
226密码区:a690到a697. 222密码区:1e76到1e7d .
原来4级改3级BiN文件输入24C芯片,装回需要解密的PLC,PLC的内存,程序,数据块没变,只是系统块变了,只要上载程序就把原来的内存,程序,数据块上载来了,如果不能和**触摸屏通迅,就修改系统块里的设置,让他通迅上… |
