河南郑州台达触摸屏，PLC解密，信捷plc解密，plc解密

PLC的解密具有一定的难度，很多人特别是新入门者，会觉得很难解。下面就分享一下笔信捷者的一些经验，供大家参考。经笔者试验，信捷PLC在设计方面有几个漏洞，可以用于PLC解密。  先说软件方面的两个漏洞：  *， 在PLC已加密的情况下，如果*一次PLC与电脑连接时，曾向PLC输入密码，在 退出软件前PLC是在线状态的，那么通过串口向PLC发送如下十六进制代码： 先发，  01 01 74 02 00 01 47 FA 01 03 44 54 00 01 D1 2A *发，  01 03 44 0A 00 03 31 39   这时PLC就会直接返回11个字节： 01 03 06 313233343536 C5 5C  在这11个字节中，前3字节是地址和命令代码，*2字节是CRC校验的高字节和字节；从第4字节到第9字节，这6位就是密码了，可以直接对应ASCII码表翻译出来，如上面的31-36就是十进制的1-6，所以返回的密码就是123456。  第二， 除了上面的漏洞，还有一个就是，可以通过试错来得到，  信捷的密码解除指令为： 01 03 40 0A 00 01 B1 CB   发出这个指令与01 01 74 02 00 01 47 FA  都会访问密码，不过后者在返回密码后还会上传程序，前者只是单纯的解除密码。 在发出这个指令后，再发如下指令 01 10 44 2C 00 03 06 * * * * * *# $ *表示十六进制的密码，＃表示CRC校验的高字节，$表示CRC校验的字节，这串代码需要用计算机自动发送，运气好的情况下，很快会返回密码。这个方法同样适用于三菱等PLC。  再谈谈硬件方面的漏洞：  先发张图看看，下面的图是信捷XC3-24RT-E的PLC的拆机照片，
1. 图中*上方的PLCC封装的芯片，是PLC的控制芯片。我们知道，在软件上PLC的组成 由系统程序和用户程序组成。系统程序有的也称自举程序，用户程序是用户也就是PLC使用者编写的程序。该块芯片内存放的，就是系统程序。  2. 图中下方右侧是一片单片机，它的作用是辅助主芯片进行系统方面的控制。  3. 图中下方左侧的一大一小两片芯片是存储用户程序的内存芯片，也就是说我们编写的 PLC控制程序都是存放在这里面的。  4. 其他的芯片，包括驱动芯片，通信芯片，运放等等与我们破解无关，就不细述了。 在了解了以上内容后，大家会有疑惑了，PLC程序我们知道在哪里了，问题是密码在哪里呀？其实这个问题很简单，密码一般是放在内存中的，当然也有存放在主控芯片中的。但是无论哪种情况，主控芯片在初始化扫描程序的时候，一定会扫描自身的某个寄存器，这个寄存器存放的是一个标志，即程序有无加密的标志。如果该寄存器被置位（表示程序已加密），那么在运行上位机软件登录时就调用密码输入程序，反之则不进行密码输入程序的调用，直接调用用户程序。因此，一切的玄机都在这个神奇的寄存器中！  我们在无法改变这个特殊寄存器的值的情况下怎么办呢？怎么才能绕过密码读取程序呢？或者直接得到密码呢？ 方法有两个：一，更换控制芯片，内存芯片不变，这时PLC的程序就可以直接读出来了；二，更换内存芯片，将内存芯片更换到另一块没有密码的板子上，亦可以直接读出程序。 以上就是此次介绍的利用漏洞破解信捷PLC密码的全部方法了！