免責聲明：本貼僅適用于系統調試、忘記密碼及程序備份等；嚴禁非法盜取別人商業秘密。一切法律責任由使用者承擔！

信捷PLC的解密方法
信捷PLC的解密具有一定的難度，很多人特別是新入門者，會覺得很難解。下面就分享一下筆者的一些經驗，供大家參考。經筆者試驗，信捷PLC在設計方面有幾個漏洞，可以用于PLC解密。  先說軟件方面的兩個漏洞：  
第一， 在PLC已加密的情況下，如果最后一次PLC與電腦連接時，曾向PLC輸入密碼，在 退出軟件前PLC是在線狀態的，那么通過串口向PLC發送如下十六進制代碼：
先發，  01 01 74 02 00 01 47 FA  
再發，  01 03 44 54 00 01 D1 2A
最后發，  01 03 44 0A 00 03 31 39   
這時PLC就會直接返回11個字節： 01 03 06 313233343536 C5 5C  
在這11個字節中，前3字節是地址和命令代碼，最后2字節是CRC校驗的高字節和低字節；從第4字節到第9字節，這6位就是密碼了，可以直接對應ASCII碼表翻譯出來，如上面的31-36就是十進制的1-6，所以返回的密碼就是123456。  

第二， 除了上面的漏洞，還有一個就是，可以通過試錯來得到，  信捷的密碼解除指令為：
01 03 40 0A 00 01 B1 CB   
發出這個指令與01 01 74 02 00 01 47 FA  都會訪問密碼，不過后者在返回密碼后還會上傳程序，前者只是單純的解除密碼。 在發出這個指令后，再發出如下指令
01 10 44 2C 00 03 06 * * * * * *# $
*表示十六進制的密碼，＃表示CRC校驗的高字節，$表示CRC校驗的低字節，這串代碼需要用計算機自動發送，運氣好的情況下，很快會返回密碼。這個方法同樣適用于三菱等PLC。

再談談硬件方面的漏洞：  先發張圖看看，下面的圖是信捷XC3-24RT-E的PLC的拆機照片，

1. 圖中最上方的PLCC封裝的芯片，是PLC的控制芯片。我們知道，在軟件上PLC的組成 由系統程序和用戶程序組成。系統程序有的也稱自舉程序，用戶程序是用戶也就是PLC使用者編寫的程序。該塊芯片內存放的，就是系統程序。  
   2. 圖中下方右側是一片單片機，它的作用是輔助主芯片進行系統方面的控制。  
   3. 圖中下方左側的一大一小兩片芯片是存儲用戶程序的內存芯片，也就是說我們編寫的 PLC控制程序都是存放在這里面的。  
   4. 其他的芯片，包括驅動芯片，通信芯片，運放等等與我們破解無關，就不細述了。
   
   在了解了以上內容后，大家會有疑惑了，PLC程序我們知道在哪里了，問題是密碼在哪里呀？其實這個問題很簡單，密碼一般是放在內存中的，當然也有存放在主控芯片中的。但是無論哪種情況，主控芯片在初始化掃描程序的時候，一定會掃描自身的某個寄存器，這個寄存器存放的是一個標志，即程序有無加密的標志。如果該寄存器被置位（表示程序已加密），那么在運行上位機軟件登錄時就調用密碼輸入程序，反之則不進行密碼輸入程序的調用，直接調用用戶程序。因此，一切的玄機都在這個神奇的寄存器中！  
   
   我們在無法改變這個特殊寄存器的值的情況下怎么辦呢？怎么才能繞過密碼讀取程序呢？或者直接得到密碼呢？ 方法有兩個：
   一，更換控制芯片，內存芯片不變，這時PLC的程序就可以直接讀出來了；
   二，更換內存芯片，將內存芯片更換到另一塊沒有密碼的板子上，亦可以直接讀出程序。 以上就是此次介紹的利用漏洞破解信捷PLC密碼的全部方法了！ 除了以上的，當然還有一些其他的漏洞，在此就不分享了。  
   
   最后給諸位分享一組萬能代碼：31 35 32 37 39 31 39 35 31 39 31   使用串口工具發送模式，輸入萬能代碼，然后在HEX/ASCII中切換至ASCII形式，將代碼發送即可。
2. 信捷的PLC密碼保護形同虛設，可以讀取EEPROM后，輕松的找到密碼，密碼在0758或者0858之后，只有6位。雖然也采用了二次加密，你看到的并不是真實的密碼，但是密碼算法簡單粗暴，略微有點密碼學知識的人一眼就能看出來。
   
   最難的就是保密下載了。這在解密業界也是一大難題，迄今為止還沒有任何人能解決此問題。其難度在哪里呢？
   
   據我個人的研究，信捷保密下載采用了KEY密匙加密法。怎么個解釋？保密下載后的文件是跟密碼保護不一樣的。保密下載后，cpu的系統存儲區，會生成一個具體位數，大小不知道的密匙key文件。這個KEY會和EEPROM中的芯片數據發生運算，而得到CPU運行的真正代碼，載入RAM。如果丟失了這個key，你初始化了plc，清空了PLC，就是你又還原了保存的EEPROM芯片文件，那也是無效的。為什么？？KEY文件，鑰匙丟了怎么開鎖？怎么打開加密的數據呢？EEPROM的數據變成了無用的數據，毫無用處了，沒了KEY誰都沒有辦法還原數據。
   
   上面的說法是你猜測還是有證據？對證據才是最重要的，才是科學的根本。有的人問我信捷的PLC你能解密嗎？我說你的PLC加密了嗎？⊙▂⊙這個我還真不知道，我猜肯定加密了！呵呵，要命吧！搞技術靠猜測。入正題，那么你說你有什么證據證明CPU內部藏有KEY密匙呢？你可以嘗試復制、拷貝、克隆、仿造一臺保密下載的信捷PLC，你不可能成功。有人會說我拷貝EEPROM芯片文件過去不就可以了嗎？？你可以試試，PLC會報警，然而沒有保密下載，只有密碼保護的，你就可以克隆，并且不會報警，說明了什么問題？key密匙起作用了。這個key密匙并不在EEPROM芯片中，你無法獲取，他是存放在CPU內部的系統存儲區的，如果你得到了這個KEY，問題就迎刃而解。這是解決保密下載的根本大法。我看了有人說保密下載分為兩種方式存放，一種是供編程軟件讀取的，一種是供CPU讀取的，保密下載只下載了供cpu讀取的而沒有下載供編程軟件讀取的，這是及其錯誤的說法，根本不是那么回事。
   
   綜上所述，解決信捷PLC保密下載的根本出路在于找出隱藏在CPU系統內部的KEY密匙，找到了你就解決了，找不到，你再怎么折騰rom芯片都無用。信捷的PLC密碼保護形同虛設，可以讀取EEPROM后，輕松的找到密碼，密碼在0758或者0858之后，只有6位。雖然也采用了二次加密，你看到的并不是真實的密碼，但是密碼算法簡單粗暴，略微有點密碼學知識的人一眼就能看出來。
   
   最難的就是保密下載了。這在解密業界也是一大難題，迄今為止還沒有任何人能解決此問題。其難度在哪里呢？
   
   據我個人的研究，信捷保密下載采用了KEY密匙加密法。怎么個解釋？保密下載后的文件是跟密碼保護不一樣的。保密下載后，cpu的系統存儲區，會生成一個具體位數，大小不知道的密匙key文件。這個KEY會和EEPROM中的芯片數據發生運算，而得到CPU運行的真正代碼，載入RAM。如果丟失了這個key，你初始化了plc，清空了PLC，就是你又還原了保存的EEPROM芯片文件，那也是無效的。為什么？？KEY文件，鑰匙丟了怎么開鎖？怎么打開加密的數據呢？EEPROM的數據變成了無用的數據，毫無用處了，沒了KEY誰都沒有辦法還原數據。
   
   上面的說法是你猜測還是有證據？對證據才是最重要的，才是科學的根本。有的人問我信捷的PLC你能解密嗎？我說你的PLC加密了嗎？⊙▂⊙這個我還真不知道，我猜肯定加密了！呵呵，要命吧！搞技術靠猜測。入正題，那么你說你有什么證據證明CPU內部藏有KEY密匙呢？你可以嘗試復制、拷貝、克隆、仿造一臺保密下載的信捷PLC，你不可能成功。有人會說我拷貝EEPROM芯片文件過去不就可以了嗎？？你可以試試，PLC會報警，然而沒有保密下載，只有密碼保護的，你就可以克隆，并且不會報警，說明了什么問題？key密匙起作用了。這個key密匙并不在EEPROM芯片中，你無法獲取，他是存放在CPU內部的系統存儲區的，如果你得到了這個KEY，問題就迎刃而解。這是解決保密下載的根本大法。我看了有人說保密下載分為兩種方式存放，一種是供編程軟件讀取的，一種是供CPU讀取的，保密下載只下載了供cpu讀取的而沒有下載供編程軟件讀取的，這是及其錯誤的說法，根本不是那么回事。
   
   綜上所述，解決信捷PLC保密下載的根本出路在于找出隱藏在CPU系統內部的KEY密匙，找到了你就解決了，找不到，你再怎么折騰rom芯片都無用。

技術支持:  13925047020(微信同號),可協助上門調試!