查看: 5344|回复: 5
惊爆！！欧姆龙CP1H密码破解大揭秘
主题帖子积分
& & 首先给大家做个自我介绍，我是来自山东临沂的郝金红，我们共同聚会这样的一个plc解密交流的平台，希望大家都能够畅所欲言。今天开坛希望各路英豪都能共聚一堂，共商解密大事！
& & 在此之前一直没机会接触omron的PLC，终于有一天，得到了一位好心网友的帮助，借到一台CP1H plc，经过几天的研究，得到了不少的知识，今天毫无保留的全部公布出来，因为刚刚开始，难免会有失误之处，不过没关系，“失败是成功他娘”嘛！在此之后我会经常的更新帖子，把最新的破解进程发到这里，更正失误之处。
直读任务读保护密码大家先打开这个在本论坛下载的程序样例文件，打开后左侧 有这样的画面
加锁了，怎么办呢？好办！ 请打开PLC属性对话框，在对话框里选择 保护，就出行如下画面
任务读保护密码框发灰，不知道也修改不了密码，那么一个专业工具，星号查看器 来了，你按照界面说明操作，星号查看器就显示了密码，看下图
关于本软件请到这里下载
如果您的PLC只有任务读保护，并没有设置UM读保护加密，那么您还可以用我们网站开发的串口软件用编程电缆直接读取这个密码。详细说明看这里：
功能块密码破解
要破解这个密码你首先下载上面的那个程序个例子，当你打开程序后会发现，功能块上加锁了你怎么点都显示不了程序画面，再使用上面的方法已经不灵了。不知密码藏在哪里，有知道的网友请发布上来，我替大家先谢谢你！虽然找不到密码，但是我们可以修改密码，以达到查看的目的，本着这一宗旨，那么一个新的工具又来了，就是 按钮突破器
现在你右单击带锁的功能块点击属性》保护，就是如下画面
看到了保护状态是 禁止写入和显示，只要知道这个密码，点击 释放 按钮就可以显示了，然而你并不知道密码啊，怎么办？这么办，现在你可以点击运行按钮突破器 打开后是如下画面
按钮突破器打开后你把鼠标放到 功能块属性 画面上，发灰的地方全部点亮了，
这时你可以双击设置按钮，
不用输入密码，再点击 设置按钮，又回到了刚才的状态，看上去并没有什么变化，然而密码已经被你修改掉了。这是你再双击 释放 按钮 出现如下画面
这时你还是不用输入密码，直接点击释放按钮保护状态框里现在显示无保护了，
关闭，再看看刚才加密的功能块，锁没了，双击打开了。。。
是不是好爽啊？
其实这不过是雕虫小技，有软件破解基础的用软件跟踪的方法跟踪一下Cx-programmer，找到断点，跳转一下，修改几个库文件，就可以了，不必这么麻烦，但是不懂软件破解的只有这么办了。我们现在已经可以直接读出这个功能块的密码，我们会适时公开。
功能块密码直读法：这曾经是绝密文件，近期被人泄露公开了，既然公开就彻底吧！你需要到我们论坛下载独家提供的WIN Hex编辑软件，下载地址：
当你打开程序，直至操作到需要你输入密码的对话框的时候暂停，打开win hex软件，点击 工具》打开RAM》选择欧姆龙的编程软件，再选择所有内存，这时你会发现密码惊现人间！上图
当然关于这个功能密码还有更简单的便捷的OD直读法，以后会慢慢的公布，希望大家多多支持。
最要人命的UM读保护
知己知彼、百战不殆！首先你要知道加密层次等级。这个要看A99CH，关于这个使用手册有详细的说明，OMRON官方网站也有说明，在此不在多议，简单提一下。
00位 (UM读保护)UM读出保护状态以PLC（用户程序全体）单位表示是否设定了读出保护
& && &&&0：没有设定UM 读出保护1：设定UM 读出保护
01位 (任务读保护)任务读出保护状态 以任务单位表示是否设定了读出保护
& && &&&0：没有设定任务读出保护&&1：设定任务读出保护
02位 (禁止覆盖)读出保护设定时的程序覆盖禁止/允许设定状态表示程序覆盖允许/禁止状态
& && &&&0：允许中 1：禁止中
03位 (禁止传卡)读出保护设定时的，向程序的存储盒备份允许/禁止状态表示程序的存储盒传送允许/禁止状态
& && &&&0：允许中 1：禁止中
12位 (UM禁止解除)UM 读出保护解除禁止/允许状态在UM 读出保护设定的状态下，表示是否接受其解除
& && &&&0：允许UM 读出保护设定的解除 1：禁止UM 读出保护的解除
13位 (任务保护禁止解除)任务读出保护解除 禁止/允许状态 在任务读出保护设定的状态下，表示是否接受其解除
& && &&&0：允许任务读出保护的解除 1：禁止任务读出保护
这里A99的数值为B，请大家看看是何种加密......
规定次数失败、存储器全部清除时、保护解除禁止经过定时间后有人说若能够直接读出以下数据就可以解密了,& &8位密码就在A527.0-----A527.7中.& &这个只有你来证实了！
拆机芯片解密法
现在市面主流的解密方法就是232通讯解密，关于这个方法在随后的帖子里公布，但是现在国人还没有人能够知道CP1H的密码，你若不信，你下次买软件的时候问他一下能否读出密码，回答是 否 。据我所知道的这10几个解密人中没有一个能解出密码，但我的意思并不是说他们破解不了，只是套路不同。
大家都知道CP1H的有存储盒，用来备份程序的，就是说plc的程序可以从一台转移到另外一台，这个存储盒就是中间传播媒体，大家搜索一下这个关键词，就知道存储盒是什么样的了“CP1W-ME05M”。
最早我们这里的海源的压机都是用的CJ1M的plc，想换plc就直接用卡备份转移就行，因为CJ1M的卡更好读了，大家搜索一下看看这个卡吧！
除了你可以读取上面的卡的芯片外您还可以拆机读取他的EEPROM芯片，芯片中就包含密码，并且弱智到就是明码，连基本的加密保护都没有，意思是说你读取了芯片就直接看到了密码，连二次编译都不用。这种卡我还有一个当年实验用的，有谁想要的请联系我。
有一种说法，叫读机器码解密
如果CP1H没有密码保护，可以使用HOSTLINK C模式或FINS模式通讯协议用VB或VC编程轻易读出程序代码。大家都知道欧姆龙的CJ1M、CP1H可以设定UM读保护和任务读保护，在上载PLC程序时，需经过编译，PLC中的机器代码转变成梯形图。当CP1H设置了密码后，就禁止了读程序代码，通过修改CP1H时序设置值，修改时序来导致PLC的看门狗出错，这时CP1H减弱了对密码保护的限制，这时就可以载 PLC中的机器代码，先不经过反编译直接打包上传到电脑中。通过分析电脑中的PLC机器代码，找出先前通过串口监视软件得到的密码保护对应的机器代码。并修改其部分功能。然后软件开发者，用自己开发的下载工具把这些经过修改的PLC机器代码下载到另外一空白的 PLC 中。由于这个PLC中的密码保护已受到限制，所以用CXP 编程软件就可以上载到梯形图。这形同拆机解密读芯片，你如果能读出OMRON的存储器芯片，修改一下机器码也能行，看图
在左边工程区有个设置，——》时序——》监视循环时间改成4000，循环时间32000。退出设置
然后连线，在线工作，传送到PLC，单选设置打勾，其他不打勾，确定，即可
虽然上载不了梯形图，但可以读机器代码了。把读出的机器代码使用VB编程重新写入CP1H就得到了梯形图。以上解密方法完全适合于CJ1M，因为CJ1M和CP1H的通讯协议是一样的。不要使用CP1H的USB口，和CJ1M的外设口，只能使用串口读程序代码，因为协议不同。以下是在本坛找到的几个主要机器代码：&&LD00&&OUT100& && && && &&&(8008& && &20A8 80A8)
&&END& && && && && && && &&&(1801)
&&AR1001 FUN49 0 0 #1234& & (9EE9 1E31 34)
时序数值设置错误解决办法
上回书说到，修改时序值使看门狗定时器报警出错，在PLC乱了分寸，慌乱之时我们乘虚而入，读取机器吗，这是上表，但是随后问题就出现了：
P1H时序数值设置错误 上传到了PLC，提示无法转换模式，关闭编程软件后，再次连接USB无法识别，使用RS232还是无法连接到PLC，运行灯亮。救命啊！该怎么办？PLC报废了吗？
解决办法：
方法一 可以用存储盒来重新传送系统参数！
方法二可以用PC调试软件将PLC置于编程模式，此时可以通讯！重新修改时序值！下载即可！
具体办法：
有储存盒的话把plc电源关掉，插入储存盒，把dip开关2打到on接通电源。储存盒里的程序会知道传入plc。用编程软件的话只要plc上的dip开关1没在on位置（on是不可写入，off是可以写入）只要联机把程序重新传到plc即可。
用串口调试工具，连接RS232C口，发送@00SC0050*回车。发送周期设为100，自动发送
串口软件这里下载
(115.76 KB)
本帖子中包含更多资源
才可以下载或查看，没有帐号？
主题帖子积分
一级会员, 积分 94, 距离下一级还需 106 积分
一级会员, 积分 94, 距离下一级还需 106 积分
好帖要顶，顶一顶更健康。
主题帖子积分
新新会员, 积分 8, 距离下一级还需 42 积分
新新会员, 积分 8, 距离下一级还需 42 积分
好帖，顶一个，咱的论坛有点儿冷清，楼主是不是一遍工作一边维护论坛？
主题帖子积分
重新建立 新论坛，大家多支持一下，不定期会有爆料。
主题帖子积分
新新会员, 积分 12, 距离下一级还需 38 积分
新新会员, 积分 12, 距离下一级还需 38 积分
来了，又重新注册的论坛号
主题帖子积分
新新会员, 积分 6, 距离下一级还需 44 积分
新新会员, 积分 6, 距离下一级还需 44 积分
版主高手呀,,学习了,,,刚让他解过一个CJ2M,,,,,一下搞定,您现在所在的是：
→ 浏览主题：
* 帖子主题：
yanzhiyangtian
文章数：17
年度积分：50
历史总积分：282
注册时间：
非常感谢大家的帮助！已经解决！
[此贴子已经被作者于 14:49:27编辑过]
文章数：8682
年度积分：1714
历史总积分：22079
注册时间：
2016论坛贡献奖
2015论坛贡献奖
2013论坛贡献奖
2012论坛贡献奖
2011论坛贡献奖
2011国庆活动
2010论坛杰出贡献奖
根据第三方公司对于用户使用中遇到问题求助的统计，85%的问题的产生都是用户不看厂家的使用说明。
Cp1H操作手册，手册编号：W450-CN5-02中第7章节，扩展模块的使用。
Good Luck~
文章数：1384
年度积分：917
历史总积分：10365
注册时间：
CP1H在设置里不需要设置I/O地址,加上CP1W扩展系统会自动识别,地址分配就像你所写的那样,是自动排下去的!
& & & & & & & & &I believe i can fly
yanzhiyangtian
文章数：17
年度积分：50
历史总积分：282
注册时间：
万分感谢好人帮助！谢谢！~！！！
工控学堂推荐视频：扫二维码下载作业帮
拍照搜题，秒出答案，一键查看所有搜题记录
下载作业帮安装包
扫二维码下载作业帮
拍照搜题，秒出答案，一键查看所有搜题记录
懂OMRON PLC的进来,我在做编码器的实验,接的是OMRON的编码器 A相接0.00 B相接0.01 一段程序是LD P-ON MOV A270 D100 为什么我旋转编码器的时候 D100的内容没有改变呢?还有 我怎么知道哪几个点对应那几个编码器呢 比如接0.02 和0.03 我怎么知道是哪个高速技数器计数呢 小女子刚刚起步 可否给我一段程序 旋转编码器的时候 数值改变呢
作业帮用户
扫二维码下载作业帮
拍照搜题，秒出答案，一键查看所有搜题记录
PLC是什么型号的?CP系列的A、B相接的是0.08、0.09,A270是高数计数的低位保存通道,高位是A271,要读取高数计数值要读两个通道
为您推荐：
下载相对应的PLC编程手册,编程手册里面有详细的说明
你没有设置高速计数器0的使能，当然读不出来了。 不同的型号和不同的设置时高速计数器的接口不一样，具体的要查看操作手册。只要设置正确，接线正确。你只需读取计数器对应的内存地址即可区分。A270，A271，A320，A321
要查手册接线
扫描下载二维码【图文】欧姆龙PLC CP1H系列_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
欧姆龙PLC CP1H系列
大小：3.84MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢}