大家好：
我們共同聚會(huì)這樣的一個(gè)plc解密交流的平臺(tái)，希望大家都能夠暢所欲言。今天開壇希望各路英豪都能共聚一堂，共商解密大事！
在此之前一直沒機(jī)會(huì)接觸omron的PLC，終于有一天，得到了一位好心網(wǎng)友的幫助，借到一臺(tái)CP1H plc，經(jīng)過幾天的研究，得到了不少的知識(shí)，今天毫無保留的全部公布出來，因?yàn)閯倓傞_始，難免會(huì)有失誤之處，不過沒關(guān)系，“失敗是成功他娘”嘛！在此之后我會(huì)經(jīng)常的更新帖子，把最新的破解進(jìn)程發(fā)到這里，更正失誤之處。

直讀任務(wù)讀保護(hù)密碼
大家先打開這個(gè)在本論壇下載的程序樣例文件 ，打開后左側(cè) 有這樣的畫面

加鎖了，怎么辦呢？好辦！ 請(qǐng)打開PLC屬性對(duì)話框，在對(duì)話框里選擇 保護(hù)，就出行如下畫面

任務(wù)讀保護(hù)密碼框發(fā)灰，不知道也修改不了密碼，那么一個(gè)專業(yè)工具，星號(hào)查看器 來了，你按照界面說明操作，星號(hào)查看器就顯示了密碼，看下圖

功能塊密碼破解

要破解這個(gè)密碼你首先下載上面的那個(gè)程序個(gè)例子，當(dāng)你打開程序后會(huì)發(fā)現(xiàn)，功能塊上加鎖了你怎么點(diǎn)都顯示不了程序畫面，再使用上面的方法已經(jīng)不靈了。不知密碼藏在哪里，有知道的網(wǎng)友請(qǐng)發(fā)布上來，我替大家先謝謝你！雖然找不到密碼，但是我們可以修改密碼，以達(dá)到查看的目的，本著這一宗旨，那么一個(gè)新的工具又來了，就是 按鈕突破器

現(xiàn)在你右單擊帶鎖的功能塊點(diǎn)擊屬性》保護(hù)，就是如下畫面

看到了保護(hù)狀態(tài)是禁止寫入和顯示，只要知道這個(gè)密碼，點(diǎn)擊 釋放 按鈕就可以顯示了，然而你并不知道密碼啊，怎么辦？這么辦，現(xiàn)在你可以點(diǎn)擊運(yùn)行按鈕突破器 打開后是如下畫面

按鈕突破器打開后你把鼠標(biāo)放到 功能塊屬性 畫面上，發(fā)灰的地方全部點(diǎn)亮了，

這時(shí)你可以雙擊設(shè)置按鈕，

不用輸入密碼，再點(diǎn)擊 設(shè)置按鈕，又回到了剛才的狀態(tài)，看上去并沒有什么變化，然而密碼已經(jīng)被你修改掉了。這是你再雙擊 釋放 按鈕 出現(xiàn)如下畫面

這時(shí)你還是不用輸入密碼，直接點(diǎn)擊釋放按鈕保護(hù)狀態(tài)框里現(xiàn)在顯示無保護(hù)了，

關(guān)閉，再看看剛才加密的功能塊，鎖沒了，雙擊打開了。。。

是不是好爽??？

其實(shí)這不過是雕蟲小技，有軟件破解基礎(chǔ)的用軟件跟蹤的方法跟蹤一下Cx-programmer，找到斷點(diǎn)，跳轉(zhuǎn)一下，修改幾個(gè)庫(kù)文件，就可以了，不必這么麻煩，但是不懂軟件破解的只有這么辦了。我們現(xiàn)在已經(jīng)可以直接讀出這個(gè)功能塊的密碼，我們會(huì)適時(shí)公開。

功能塊密碼直讀法：

這曾經(jīng)是絕密文件，近期被人泄露公開了，既然公開就徹底吧！你需要到我們論壇下載獨(dú)家提供的WIN Hex編輯軟件，

當(dāng)你打開程序，直至操作到需要你輸入密碼的對(duì)話框的時(shí)候暫停，打開win hex軟件，點(diǎn)擊 工具》打開RAM》選擇歐姆龍的編程軟件，再選擇所有內(nèi)存，這時(shí)你會(huì)發(fā)現(xiàn)密碼驚現(xiàn)人間！上圖

當(dāng)然關(guān)于這個(gè)功能密碼還有更簡(jiǎn)單的便捷的OD直讀法，以后會(huì)慢慢的公布，希望大家多多支持。

最要人命的UM讀保護(hù)

知己知彼、百戰(zhàn)不殆！首先你要知道加密層次等級(jí)。這個(gè)要看A99CH，關(guān)于這個(gè)使用手冊(cè)有詳細(xì)的說明，OMRON官方網(wǎng)站也有說明，在此不在多議，簡(jiǎn)單提一下。

A99CH

00位

(

UM讀保護(hù)

)UM讀出保護(hù)狀態(tài)以PLC（用戶程序全體）單位表示是否設(shè)定了讀出保護(hù)

0：沒有設(shè)定UM 讀出保護(hù)1：設(shè)定UM 讀出保護(hù)

01位

(

任務(wù)讀保護(hù)

)任務(wù)讀出保護(hù)狀態(tài) 以任務(wù)單位表示是否設(shè)定了讀出保護(hù)

0：沒有設(shè)定任務(wù)讀出保護(hù)1：設(shè)定任務(wù)讀出保護(hù)

02位

(

禁止覆蓋

)讀出保護(hù)設(shè)定時(shí)的程序覆蓋禁止/允許設(shè)定狀態(tài)表示程序覆蓋允許/禁止?fàn)顟B(tài)

0：允許中 1：禁止中

03位

(

禁止傳卡

)讀出保護(hù)設(shè)定時(shí)的，向程序的存儲(chǔ)盒備份允許/禁止?fàn)顟B(tài)表示程序的存儲(chǔ)盒傳送允許/禁止?fàn)顟B(tài)

0：允許中 1：禁止中

12位

(

UM禁止解除

)UM 讀出保護(hù)解除禁止/允許狀態(tài)在UM 讀出保護(hù)設(shè)定的狀態(tài)下，表示是否接受其解除

0：允許UM 讀出保護(hù)設(shè)定的解除 1：禁止UM 讀出保護(hù)的解除

13位

(

任務(wù)保護(hù)禁止解除

)任務(wù)讀出保護(hù)解除 禁止/允許狀態(tài) 在任務(wù)讀出保護(hù)設(shè)定的狀態(tài)下，表示是否接受其解除

0：允許任務(wù)讀出保護(hù)的解除 1：禁止任務(wù)讀出保護(hù)

這里A99的數(shù)值為B，請(qǐng)大家看看是何種加密......

規(guī)定次數(shù)失敗、存儲(chǔ)器全部清除時(shí)、保護(hù)解除禁止經(jīng)過定時(shí)間后有人說若能夠直接讀出以下數(shù)據(jù)就可以解密了, 8位密碼就在A527.0-----A527.7中. 這個(gè)只有你來證實(shí)了！

拆機(jī)芯片解密法

現(xiàn)在市面主流的解密方法就是232通訊解密，關(guān)于這個(gè)方法在隨后的帖子里公布，但是現(xiàn)在國(guó)人還沒有人能夠知道CP1H的密碼，你若不信，你下次買軟件的時(shí)候問他一下能否讀出密碼，回答是 否 。據(jù)我所知道的這10幾個(gè)解密人中沒有一個(gè)能解出密碼，但我的意思并不是說他們破解不了，只是套路不同。

大家都知道CP1H的有存儲(chǔ)盒，用來備份程序的，就是說plc的程序可以從一臺(tái)轉(zhuǎn)移到另外一臺(tái)，這個(gè)存儲(chǔ)盒就是中間傳播媒體，大家搜索一下這個(gè)關(guān)鍵詞，就知道存儲(chǔ)盒是什么樣的了“CP1W-ME05M”。

最早我們這里的海源的壓機(jī)都是用的CJ1M的plc，想換plc就直接用卡備份轉(zhuǎn)移就行，因?yàn)镃J1M的卡更好讀了，大家搜索一下看看這個(gè)卡吧！

除了你可以讀取上面的卡的芯片外您還可以拆機(jī)讀取他的EEPROM芯片，芯片中就包含密碼，并且弱智到就是明碼，連基本的加密保護(hù)都沒有，意思是說你讀取了芯片就直接看到了密碼，連二次編譯都不用。

這種卡我還有一個(gè)當(dāng)年實(shí)驗(yàn)用的，有誰(shuí)想要的請(qǐng)聯(lián)系我。

有一種說法，叫讀機(jī)器碼解密

如果CP1H沒有密碼保護(hù)，可以使用HOSTLINK C模式或FINS模式通訊協(xié)議用VB或VC編程輕易讀出程序代碼。大家都知道歐姆龍的CJ1M、CP1H可以設(shè)定UM讀保護(hù)和任務(wù)讀保護(hù)，在上載PLC程序時(shí)，需經(jīng)過編譯，PLC中的機(jī)器代碼轉(zhuǎn)變成梯形圖。當(dāng)CP1H設(shè)置了密碼后，就禁止了讀程序代碼，通過修改CP1H時(shí)序設(shè)置值，修改時(shí)序來導(dǎo)致PLC的看門狗出錯(cuò)，這時(shí)CP1H減弱了對(duì)密碼保護(hù)的限制，這時(shí)就可以載 PLC中的機(jī)器代碼，先不經(jīng)過反編譯直接打包上傳到電腦中。通過分析電腦中的PLC機(jī)器代碼，找出先前通過串口監(jiān)視軟件得到的密碼保護(hù)對(duì)應(yīng)的機(jī)器代碼。并修改其部分功能。然后軟件開發(fā)者，用自己開發(fā)的下載工具把這些經(jīng)過修改的PLC機(jī)器代碼下載到另外一空白的 PLC 中。由于這個(gè)PLC中的密碼保護(hù)已受到限制，所以用CXP 編程軟件就可以上載到梯形圖。這形同拆機(jī)解密讀芯片，你如果能讀出OMRON的存儲(chǔ)器芯片，修改一下機(jī)器碼也能行，看圖

在左邊工程區(qū)有個(gè)設(shè)置，——》時(shí)序——》監(jiān)視循環(huán)時(shí)間改成4000，循環(huán)時(shí)間32000。退出設(shè)置

然后連線，在線工作，傳送到PLC，單選設(shè)置打勾，其他不打勾，確定，即可

雖然上載不了梯形圖，但可以讀機(jī)器代碼了。把讀出的機(jī)器代碼使用VB編程重新寫入CP1H就得到了梯形圖。以上解密方法完全適合于CJ1M，因?yàn)镃J1M和CP1H的通訊協(xié)議是一樣的。不要使用CP1H的USB口，和CJ1M的外設(shè)口，只能使用串口讀程序代碼，因?yàn)閰f(xié)議不同。以下是在本壇找到的幾個(gè)主要機(jī)器代碼：LD00OUT100 (8008 20A8 80A8)

END (1801)

AR1001 FUN49 0 0 #1234 (9EE9 1E31 0100 0100 1234)

時(shí)序數(shù)值設(shè)置錯(cuò)誤解決辦法

上回書說到，修改時(shí)序值使看門狗定時(shí)器報(bào)警出錯(cuò)，在PLC亂了分寸，慌亂之時(shí)我們乘虛而入，讀取機(jī)器嗎，這是上表，但是隨后問題就出現(xiàn)了：

P1H時(shí)序數(shù)值設(shè)置錯(cuò)誤 上傳到了PLC，提示無法轉(zhuǎn)換模式，關(guān)閉編程軟件后，再次連接USB無法識(shí)別，使用RS232還是無法連接到PLC，運(yùn)行燈亮。救命?。≡撛趺崔k？PLC報(bào)廢了嗎？

解決辦法：

方法一 可以用存儲(chǔ)盒來重新傳送系統(tǒng)參數(shù)！

方法二可以用PC調(diào)試軟件將PLC置于編程模式，此時(shí)可以通訊！重新修改時(shí)序值！下載即可！

具體辦法：

有儲(chǔ)存盒的話把plc電源關(guān)掉，插入儲(chǔ)存盒，把dip開關(guān)2打到on接通電源。儲(chǔ)存盒里的程序會(huì)知道傳入plc。用編程軟件的話只要plc上的dip開關(guān)1沒在on位置（on是不可寫入，off是可以寫入）只要聯(lián)機(jī)把程序重新傳到plc即可。

用串口調(diào)試工具，連接RS232C口，發(fā)送@00SC0050*回車。發(fā)送周期設(shè)為100，自動(dòng)發(fā)送

審核編輯 黃昊宇