PLC程序密码破解方法，并总结了详细的解密过程

PLC程序解密，密码破解方法步骤分析，有关plc的解决方法，在进行plc编程的过程中，有时需要plc解密的一些操作，这里说一说plc的解密方法，并总结了详细的解密过程，有需要的朋友参考下。

PLC解密方法

1、使用串口调试器。

2、设置好有关参数。

设置串口：COM1，波特率：9600，数据位：7，校验：E偶，停止位：1

输入：输入EHX，显示：显示ASC

确定三菱PLC型号。根据PLC型号选择在串口调试程序的 文本 中输入对应字符串。

PLC型号 对应字符串

FX2 /STX0700808/ETX6A

FX2N /STX0300808/ETX66

FX2_EPROM /STX0800808/ETX6B

FXON/FXOX /STX0800808/ETX6B

FX1N/FX1X /STX0800808/ETX6B

3、发送后在接收框中显示的字符串就是plc的密码。

如果看不出来的话，将这些字符串拷贝到 HEX格式 中。发送一次看看。（发送前记得先断开PLC）

建议你自己设置一个密码，然后用这个方法读取一次看看，以后就知道是怎么回事了。

密码字符：0-9，A-F。

A系列：

发送：A2 07 00 FF 02 05 AE 00 08 C3

接收：0B 00 FF 02 00 AA 77 55 BB EF CD AB A4 00

密码：ABCDEF

发送：A2 07 00 FF 02 05 AE 00 08 C3

接收：0B 00 FF 02 00 AA 77 55 BB C1 B1 A1 A4

密码：A1B1C1

分析：密码为返回字符中BB至A4之间的字符，以每2字符为单位，从右往左读出。

FX系列：

返回：34 31 34 32 34 33 34 34 34 35 34 36 34 31 34 32

密码：ABCDEFAB

分析：接收到的是ASC码，对应的字符为 4 1 4 2 4 3 4 4 4 5 4 6 4 1 4 2，以每2字符为单位组合，即

41 42 43 44 45 46 41 42，

再译为对应的字符即为 ABCDEFAB.

1、在发送字符栏输入下面的字符串后点发送；

02 30 38 30 30 38 30 38 03 36 42

3、返回一串16进制的ASCII码，30H为数字0，31H为数字1，以此类推；

例：02 30 38 30 30 38 30 38 03 36 42

（ 37ms ）

/STX4236353433323130/ETX41

密码是：B6543210 《42=B》

以上就是PLC解密方法及解密过程的全部内容，希望对大家有所帮助。

TypeScript 中的整形和浮点数类型都是 number，这点和 JavaScript 是一样的，比如：十进制、二进制、八进制和十六进制的类型都是 number。

let decAge: number = 22; let hexAge: number = 0x0016; let binaryAge: number = 0b10110; let octalAge: number = 0o026; // 以上变量使用 (number).toString(10) 转换为十进制都为 22 复制代码

可使用 (number).toString(进制) 将数字转换为任意进制的类型。

字符串 → string

和 JavaScript 一样，字符串的值使用单引号或者双引号包裹：

let myName: string = "编程三昧"; let myHomepage: string = `example.com/${myName}`; 复制代码

数组

TypeScript 中定义数组的方式有两种。

第一种是元素类型后面接上 []，表示由此类型元素组成的一个数组：

let arr: number[] = [1, 2, 3, 4]; // 如果在数组中加入其他元素会报错 复制代码

第二种是使用数组泛型定义数组：

let arr1: any[] = [1, "2", 3, "4"]; // 这个数组中可以假如任意类型的元素 复制代码

元组 Tuple

元组类型允许表示一个已知元素数量和类型的数组，各元素的类型不必相同。

let arr2:[number, string, number] = [1,"2",3]; // 若果写成 [1,2,3] 会报错 复制代码

元素是严格规定了数组的长度和每个位置的元素类型，并且在赋值时需要严格对应，否则会报错。

枚举

enum类型是对JavaScript标准数据类型的一个补充。像C#等其它语言一样，使用枚举类型可以为一组数值赋予友好的名字。

enum Color {Red, Green, Blue} let c: Color = Color.Green; 复制代码

默认情况下，从0开始为元素编号。你也可以手动地指定成员的数值。例如，我们将上面的例子改成从 1开始编号：

enum Color {Red = 1, Green, Blue} let c: Color = Color.Green; 复制代码

或者，全部都采用手动赋值：

enum Color {Red = 1, Green = 2, Blue = 4} let c: Color = Color.Green; 复制代码

枚举类型提供的一个便利是你可以由枚举的值得到它的名字。例如，我们知道数值为2，但是不确定它映射到Color里的哪个名字，我们可以查找相应的名字：

enum Color {Red = 1, Green, Blue} let colorName: string = Color[2]; console.log(colorName); // 显示'Green'因为上面代码里它的值是2

上一节，我们已经把gitlab、jenkins、harbor、k8s都已经搭建好了，这一节我们来编写jenkins的pipline将我们的服务通过jenkins完整的发布到k8s中。

2、部署中间件

将mysql、redis、es等部署到k8s之外 ， 模拟用作线上独立环境（至于线上你想把某些中间件部署到k8s内部这个自行处理，本次重点是如何将go-zero开发的微服务部署到k8s集群内部），这里我就直接使用项目下的docker-compose-env.yaml了，把所有依赖的第三方中间件环境直接安装在srv-data.com(192.168.1.181)这台服务器，前提是这台服务器已经安装好docker、docker-compose。

登陆到 192.168.1.181

$ mkdir data && cd data && vim docker-compose.yml$ docker-compose up -d$ docker-compose ps #查看确认

3、独立配置

将每个服务的配置都独立出来，统一放在一个git仓库，这样只给一个人线上仓库的权限，如果线上配置有变直接修改这个仓库的文件，在jenkins做cd的时候，会先拉取代码再拉取对应服务的配置自动构建，具体可以看后面的pipline。

【问】为什么不用配置中心？

1）修改db、redis等需要重启服务，但是有一些配置又不需要重启服务，运维又要去记，记混了比较容易造成线上事故

2）方便回滚。我们发新版本到线上，并且又改了新版本配置。这时候线上用户反馈有问题，线上需要快速回滚的话，如果我们使用将文件构建到镜像中，直接使用k8s一行命令就可以将上一个版本代码加配置直接回滚回来。如果使用了配置中心，回滚了代码，还要将上个版本的配置去配置中心改回来，很麻烦。

PLC程序加解密，高手是这样做的

大家都知道，很多品牌PLC的程序都可以通过软件解密，那么一旦解密后程序就非常透明的显示在了别人的眼中，而将设备卖给别人将PLC程序整个锁死的话又不切实际，甲方会无法维护；而保密和维权更是中国市场经久不衰的话题，其实德国的工程师从来不会给自己的程序整体加密，而是使用其他方式，既不影响发生故障时的诊断，又可以保护自己的核心机密。今天给大家介绍一下这些方式，供大家参考。

使用西门子安全PLC或者博途的KNOWHOW功能

1、 西门子安全PLC作为西门子主打安全功能的一款产品，它的性能毋庸置疑，而且安全PLC的程序块加密后无法破解；可以很好的保护核心。而博途PLC作为西门子的最新产品，其版权保护也是它的主要功能之一，KNOWHOW功能是软硬件双重加密，不加密的块可以正常监控，没有密码的话甚至无法下载到其他PLC；因此使用博途的KNOWHOW功能既可以将程序交给甲方方便维护，又可以保护自己的核心程序不被窃取。

采用高级语言编写部分重要的工艺程序

2、 西门子除了最基础的LAD梯形图编程，FBD功能块编程和STL语句表编程还有很多其他的方式，比如说PCS7的CFC,SFC; 除此之外还有SCL，S7-GRAPH等等。对于这些语言，一般的工控人员很难全部精通，因此仿制难度大大提升，因此非常关键的工艺程序可以由这些语言编写，也可以很好的保护自己的核心。

（1）编程方式的采用

a)采用模块化的程序结构，采用符号名，参数化来编写子程序块；

b)尽量采用背景数据块和多重背景的数据传递方式；

c)多采用间接寻址的编程方式；

d)复杂系统的控制程序尤其是一些带有顺序控制或配方控制的程序，可以考虑采用数据编程的方式，即通过数据的变化来改变系统的控制逻辑或控制顺序。

用户应该尽量采用以上几种高级层次的编程方式，这样编出来的程序中嵌入系统的保护加密程序，才不容易被发现而仿制。

（2）主动保护方法

a)利用系统的时钟；

b)利用程序卡或者CPU的ID号和序列号；

c)利用EEPROM的反写入功能，及一些需要设置的内存保持功能；

d)利用系统提供的累时器功能；

e)在用户程序的数据块中设置密码；

f)软件上设置逻辑陷阱；

g)可以反向利用自己在编程时犯的错误。

（3）被动保护方法

a)在内存容量利用许可的条件下，不要删除被认为是无用的程序；

b)在数据块里留下开发者的标识，以便于将来遭到侵权时可以取证。

（4）应用反窃取技术的注意事项

a)在用户程序中嵌入保护程序要显得自然一些，不能很突兀的加出一段程序来，代码要尽量精简，变量符号名应与被嵌入程序段的变量保持一致；

b)往往一种保护加密手段是不够的，应该多种方法并用，并且这些保护程序一旦激活后对系统造成的后果也应该尽量不同，造成所谓的“地雷效应”，从而增加程序被窃取的难度，时间与成本，短时间内让抄袭者束手无策；

c)保护好程序的原代码，如果需要交付程序的，在不影响用户对设备维护的前提下，应对交付的程序做适当的技术处理，如删除部分符号名，采用上载的程序或数据块；

d)做好严格的测试，以避免保护程序的不完善引起的误动作而带来的不必要的麻烦，同时也能降低售后服务的的费用。

使用通讯功能

3、在实际应用中，往往会遇到一些系统间需要数据交换的问题(多个PLC之间，PLC与第三方仪表之间)，无论是西门子产品之间还是西门子产品与第三方产品之间，建议使用通讯的方案来代替模拟量或开关量之间的信号互连的方案。对于前者，仿制者只能看见一条硬件的通讯线，至于有多少数据是如何通过通讯交换的，仿制者必须要花精力研究具体的用户程序才能搞清楚;而对于后者，开发者是省心省力了，仿制者也是一目了然，尽收眼底。

对于一些变频器或者伺服电机等的程序设计，一般有多种方式，可以线路直接控制还可以通讯控制，那么使用通讯的方式的话会使得程序增加了仿制的难度，比如说PLC对于伺服驱动器的控制有多种，简单一些的可以是脉冲直接控制或者模拟量控制，这种方式就容易仿制，如果换成通讯控制，则会使得程序复杂很多，加上仿制者如果对报文不熟悉，很难去仿制。

有时候控制系统会由多个子控制系统构成，由此形成多CPU加人机界面的网络，西门子S7-200产品常见的是PPI网络，S7-300400产品常见的是MPI网络，通常是人机界面与CPU之间的数据交换，而我们也可在CPU的用户程序中添加一些无须组态的S7基本通讯功能(S7-200可用NETRNETW指令，S7-300400可以用X_PUTX_GET指令)，定时或不定时地在CPU之间进行少量数据交换，通过这些数据实现子系统控制逻辑的互锁。对于这样的系统，仿制者要分析某一子系统的程序也不是件十分容易事情。

采用面板类型的人机界面

4、尽量在自动化系统中使用面板类型的人机界面来代替单一的按钮指示灯，很多人机界面没有源程序的话只有备份和恢复功能，完全可以实现维护功能还保密了HMI这一层的程序，而对于一个PLC系统而言，即使拥有了源程序但是缺失了HMI部分的标记也是很难仿制的。

而且开发者可以在面板的画面上加上明显的厂家标识和联系方式等信息，仿制者就不能原样照抄。

如果就使得如果仿制者想要复制程序的话，就必须重新编写操作面板的程序甚至于PLC的程序，而开发者则可利用面板和PLC数据接口的一些特殊功能区(如西门子面板的区域指针，或VB脚本)来控制PLC的程序执行。这样的PLC程序在没有HMI源程序的情况下只能靠猜测和在线监视来获取PLC内部变量的变化逻辑，费时费力，极大的增加了仿制抄袭的难度。

采用非标准的人机界面

5、德国工程师都愿意使用这种方式。

在中国，大多数工程师都愿意使用WINCC，INTOUCH或者组态王等等，但其实除了这些软件，还有一种更加高大上的编写方式，那就是利用VB自己写程序，而对于软件与PLC的接口，大家可以选择LIBNODAVE或者其他库等，这种方式写出来的人机界面有着很多好处，首先没有版权问题，因为VB软件是免费的，而且对于WINDOW系统的升级来说只需要简单的添加几个文件即可实现，不像WINCC那样，如果window升级了，需要大量修改文件。一般人都无法修改，更别提仿制了；没有很好的计算机编程功底的话就不敢轻易修改，而仅仅有计算机功底又没有PLC或者工艺基础的话也是无法更改的。作者曾经利用S7-300做过这么一套系统，但我的目的不是保密，而是甲方要求，坐出来的系统完全按照自己的风格，很是舒服。

相关问答

如何破解plc程序?

其实破解别人写的程序,还不如自己重新写一个。因为就算你读出PLC中的程序,但是没有注释,自己也看的一头雾水,只要了解了设备的动作流程和输入输出的点数,自...

如何对自己的PLC程序块进行解密?

回答如下:对自己的PLC程序块进行解密是不可取的行为,因为PLC程序块通常包含了公司的核心技术和机密信息。解密PLC程序块可能涉及违反法律规定,侵犯知识产权,...

plc程序有没有破解的方法?

大部分都有的,他们大部分都是从软件上下手。像西门子200西门子300汇川三菱都有的,在网站上搜##PLC破解软件,就可以了大部分都有的,他们大部分都是从软件上下手。...

plcs71200块密码如何破解?

这是西门子高端产品,告诉你叫你学会编写程序还快过破解它的密码,这个高端产品不用拆机我还没听说过可以破解密码的.请尊重别人的知识权。这是西门子高端产品,...

倍福plc程序怎么解密?

1.解密倍福PLC程序是可能的。2.因为倍福PLC程序通常采用特定的加密算法进行保护,使其难以被非授权人员解读和修改。但是,通过逆向工程和破解技术,可以尝试解...

怎么破解松下PLC密码?

三菱的密码校验是在编程器端,你到网上找个串口监视软件,运行串口监视软件后,运行GPPW等三菱编程软件,选择修改密码,在串口软件的接收窗口中可以显示密码的16...

怎么破解永宏PLCB1z系列密码?

上载提示输入密码的可以破解,提示程序不存在的是解不了的,属于保密下载,也有可能是密码加保密下载、也是提示输入密码;谢谢!上载提示输入密码的可以破解,提示...

plc编程密码怎么解决?

当plc有编程密码时,必须清除plc存储区,重新载入程序。清除plc存储区使plc进入stop(停止)模式,并将plc复原为工厂设置的默认值,plc地址、波特率和...

西门子s7-1200解密方法?

西门子S7-1200PLC目前没有解密软件,只能通过一张空白MMC存储卡在断电后插入再上电来清除程序的同时清除密码。西门子S7-1200PLC目前没有解密软件,只能通过一...

s7-200解密方法?

方法如下西门子S7-200带CN的PLC目前只能拆机破解,没有直接用数据线破解的;拆机后,取出CPU板上的一个八角芯片,放到芯片读取器上,读出一个BIN...方法如下...