Выгрузить программу из S7-200 просто? Или не очень?
Дата: 2012-06-22
Добавлено: Дмитриев Алексей
Тема: Hard
Предисловие
Фаза первая — подготовительная
Фаза вторая — сбор информации
Фаза третья — аппаратное обеспечение (hardware)
Фаза четвертая — танцы с бубном
Фаза пятая — Победа!
Фаза шестая — изучение кода из поднебесной
Написать эту статью меня подтолкнула ситуация с купленным на нашем опытном производстве станком для гидроабразивной резки листовых материалов ”ALBA” производства наших китайских коллег- машиностроителей из фирмы Sunrise. Станок прекрасно работал пару-тройку лет, и вдруг на дисплее системы ЧПУ появилось сообщение ”Emergency Stop” и станок всяческие действия производить отказался.
При этом на пульте управления в режиме двоичного счетчика красиво мигали две красные светодиодные лампы. Поскольку нормальной техдокументации не было, позвонили в сервисный центр продавца. Там ответили — присылайте заявку, платите денежку, опосля чего приедем, поглядим. Предложение, наверное, и было-бы принято, если-бы предприятие не сидело на картотеке, денег, естественно, не было.
Тогда начальство попросило меня посмотреть, хотя в служебные обязанности зама главного конструктора по АСУТП проектного института и не входит обслуживание станочного парка опытного производства.
Пульт управления станком.
Процесс.
Фаза первая — подготовительная.
Осмотр показал, что всей лабудой (кроме ЧПУ) управляет маленький S7-200 с одним дополнительным модулем ввода/вывода. Хотя мы в своем оборудовании 200-ю серию не применяли (все больше 300-ю), но адаптер PPI был в наличии (остался от комплектации какой-то панели оператора). Все просто — надо скачать софт из контроллера и посмотреть, что выставляет ошибку на ЧПУшную систему, благо выход контроллера горел только один, и при его отрывании от контроллера, ошибка с экрана ЧПУ пропадала, что впрочем, не разрешало работать станку.
Вот этот контроллер.
Далее, казалось все очень тривиальным. Установил на ноутбук Step-7 Micro/Win, подключил контроллер, настроил интерфейс, Upload, а потом.... Окошко ввода пароля. Попытки ALBA, SUNRISE, SUNSHINE и CHINA ничего не дали :).
Звонок в техподдержку продавца несколько обескуражил - «У нас нет пароля, китайцы не дают. Если что-то с контроллером, мы им в поднебесную отправляем!» - …??? Верилось с трудом, и вопрос кряка этого всего хозяйства становился делом профессиональной чести.
Посмотрел сниффером порта что передается/принимается в процессе авторизации. Пароль контроллер передает в зашифрованном виде, поэтому информация малополезная, так как алгоритм шифрования неизвестен и может быть неограниченное количество вариантов.
Фаза вторая — сбор информации.
Пошел в офис курить Интернет. Контроллер из шкафа станка демонтировал и прихватил с собой. Нашлось много чего интересного, в основном на http://plcforum.uz.ua. Сайт очень полезный, всем настоятельно рекомендую!
Программа распароливания проекта S7 -
Ссылка №1:
http://plcforum.uz.ua/viewtopic.php?f=1&t=9426&hilit=unpassword
Хорошая вещь, реально работает (проверил позднее), но у нас нет проекта!
Дальнейшие поиски привели к методике считывания дампа из микросхемы 24С64 - памяти с последовательным доступом. Имея дамп тоже можно извлечь пароль.
Ссылка №2:
http://plcforum.uz.ua/viewtopic.php?f=1&t=4648&hilit=%D0%BE%D0%B1%D1%80%D0%B0%D0%B7+S7+200
Огромное спасибо CoMod-у за подробную информацию.
Есть там еще одна ссылка, которая призвана прочитать пароль прямо с контроллера по штатному интерфейсу PPI.
Ссылка №3: http://rapidshare.com/files/3337879/S7-200.exe.html Программа реально обращается к контроллеру, даже читает тип ЦПУ и версию прошивки, но, увы, пароль не показывает — поле пустое. Подозреваю, что это когда-то работало, но на ранних версиях прошивок ЦПУ.
Программа реально устарела и уже неактуальна для новых процессоров.
Фаза третья — аппаратное обеспечение (hardware).
Следующий шаг — конструирование программатора. Недолго думая, сварил навесным монтажом то, что рекомендовал CoMod в ссылке №2 на базе порта LPT. Два КТ315, четыре резистора. Приварил проводки к микросхеме ПЗУ, установил PonyProg http://www.lancos.com/prog.html и … не работает!
Танцы с бубном и прощупывание сигналов при помощи мультиметра результатов не дали. Как оказалось позднее, плохо прощупывал мультиметром, но об этом потом.
Пошел курить Интернет дальше в поисках решения. В результате остановился на схеме программатора EXTRAPIC http://www.5v.ru/extrapic.htm в упрощенном варианте — выкинул все, что не нужно для чтения 24С64, а это немало. Осталось две микросхемы MAX232 и 555ЛА3 (я поставил 155ТЛ3), четыре конденсатора, резистор и диод. Когда ездил за MAX232 в магазин (остальной хлам присутствовал) решил купить и 24С64 для экспериментов с программатором. Питание 5 Вольт взял с USB. Приварил проводки к микросхеме ПЗУ (уже новой в корпусе DIP), запустил PonyProg и … не работает!
Б...дь!
Вот схема программатора:
Так выглядит сваренное наскоро устройство.
Вот расположение микросхемы на плате контроллера S7-200.
Фотографии платы контроллера с http://plcforum.uz.ua/ предоставлены CoMod-ом, за что ему огромная благодарность.
Фаза четвертая — танцы с бубном.
Скачал http://www.winpic800.com/. Программа очень полезна для настройки и тестирования программатора — можно выбирать сигналы портов, которые подключены к микросхеме ПЗУ и переключать их программно в статике, проверяя, таким образом прохождение и нормализацию сигналов. Попутно пристально разглядел маркировку купленной 24С64 и ничего похожего на корпусе не нашел. ??? Не то подсунули в магазине (может быть случайно, может аналог)…? Поехал в другой магазин, и купил там 24С08 (на ней именно то и написано), подключил...
Нет ответа от чипа ПЗУ! Стал прощупывать сигналы мультиметром и … обнаружил замыкание, не совсем короткое, но все же, сигнальных проводов между собой в кабеле, соединяющем программатор с микросхемой ПЗУ. Кабель этот был накануне отстрижен от дохлой мышки (вот почему мышка-то не работала!)! Отрезал половину — коротыш пропал. Подключил и … о чудо — ЗАРАБОТАЛО! Подключил проводки к микросхеме 24С64 контроллера S7-200, запустил WinPic800 – чтение и … прочиталось 256 байт нулей...!!!???
Б...дь!
Вот здесь и происходил процесс.
Скачал программу http://www.ic-prog.com/. Запустил и …, о чудо, прочитал таки дамп. Выглядит начало довольно прикольно!
Дальше дело техники, как написано в ссылке №1. Используем Unlocks7_200and300.exe для извлечения пароля из дампа. Выкачиваем проект Step-7 Micro/Win и пристально его изучаем. Победа!
Фаза шестая — изучение кода из поднебесной.
Программа управления, собственно ничего хитрого собой не представляет. Обычное «релейное» управление всякой всячиной, типа гидравлики, насосами, клапанами и прочей дрянью, но... Присутствует код таймера на 360 рабочих смен по 8 часов. Таймер считает только тогда, когда включен какой-то выход, типа включения гидронасоса усилителя давления, то есть когда станок работает. Когда таймер досчитывает до конца, устанавливается флаг с адресом M13.0 :), типа, все ребята, платите денежки! Что это, как не вымогательство! Сбросить флаг невозможно никаким образом, кроме подключения отладчика, для чего нужен пароль!
Насколько это некрасиво и кто запрограммировал это, либо китайцы, либо наши посредники из Москвы мне, естественно, неведомо... Но хочется сказать: Ну и козлы же вы, ребята!
PS: Что интересно, на корпусе ПЛК маркером написано 360D. Сначала я принял это за пароль, потом конечно, стал понятен реальный смысл этой надписи :).
Кстати, первый вариант программатора, скорей всего, был рабочий. Виной всему был этот гнилой огрызок кабеля от мышки!
Дмитриев Алексей
Ярославль, 2011 год.
Необходимые инструменты (загрузить 2.5Мб)
Просмотров: 71789
Комментарии к материалу
Добавлен: Илья Дата: 2012-07-15
Такие засады - норма. У меня был S5 контроллер, который каждые 2500 часов вставал и требовал пароль. Пароль генерировался сложно, нужно было каждый раз дозваниваться и узнавать пароль. Сначала сломал пароль, потом перевели S5 на свежий сименс и блок пароля стерли.
Добавлен: komatic Дата: 2012-07-15
2Илья,поделитесь блоком пароля, если остался, интересно же...
Добавлен: Дмитрий Дата: 2012-08-31
А остался ли у кого сам Unlocks7_200and300.exe?
А то, на свалке его больше нет, как и самой свалки.
Добавлен: komatic Дата: 2012-09-07
Добавил ссылку в статью
Добавлен: Николай Дата: 2012-12-07
Пацаны ваще ребята, умеете! могете! ;)
Ну а вообще очень классно! Молодец
Добавлен: Николай Дата: 2012-12-07
Кто не понял первой фразы - она отсюда:
http://www.yapfiles.ru/show/232666/127e56360f0b740f8bd328289ada3496.flv.html?autoplay=1
Добавлен: Serj Balabay Дата: 2013-02-07
Думал что у меня был единичный случай. Формовочная машина стала без причины, написав на панели "ПОЗВОНИ МНЕ" на китайском языке. Проект в контроллере был запаролен. Изза простоты задачи, проект переписали.
Сам вопрос - Unlocks7_200and300.exe это Unlock_and_converter_MMC_Image_S7.exe? Чтото не видно в приложеном архиве (simatic_s7-200_s7-300_mmc_password_unlock_2006_09_11.rar) этого файла
Добавлен: komatic Дата: 2013-02-07
2Serj
да это она, просто название чуть другое (Unlock_and_converter_MMC_Image_S7.exe)
Добавлен: Mikle Дата: 2013-02-22
Около 2000 года был куплен стационарный телефонный аппарат МТ-201 "Ирбис". Года через три стал показывать 64 минуты на дисплее и не сохранялась информация о звонках. Аппарат был отремонтирован у продавца. Через три года проблема повторилась. Производитель к тому времени обанкротился и выяснилось что это характерно для всех аппаратов этой модели. Была установлена прошивка от другого аппарата, что решило вопрос.
Добавлен: delsnos Дата: 2013-03-24
Браво автору!
Добавлен: КолянЪ Дата: 2013-07-25
Область памяти М ведь энергозависима. Может они хотели сделать, чтобы станок хотя бы раз в году отключали от сети и таким образом сбрасывали этот бит М13.0?.. а потом подумали и решили - а почему бы не сбрасывать его самим за деньги, хехе ))
Добавлен: Виталий Дата: 2013-11-13
Огромное спасибо Автору!Следуя его инструкциям получил пароль и выгрузил проект из CPU-224CN, только в этом CPU стоит микросхема ПЗУ 4256BWP,но распиновка аналогична
Добавлен: Автор Дата: 2013-12-20
Область памяти М - энергонезависимая. Количество энергонезависимых байт устанавливается в конфигураторе контроллера.
Добавлен: Кирилл Дата: 2015-01-22
Огромное спасибо Автору!Получил пароль и выгрузил проект из CPU-224. В этом CPU стоит микросхема ПЗУ АТ24С128Т (Atmel). Использовал другой программатор, но принцип тот же.
Добавлен: dekor Дата: 2015-01-30
Bravo!
Very well documented material.I had learned from your experience.
Many thanks.
Добавлен: Анатолий Дата: 2015-02-13
Область памяти М, которая выбирается в конфигураторе контроллера на самом деле энергозависима, питается от батарейки внутри.
Было дело после падения контроллера на пол перестала храниться эта память, оказалось батарейка отвалилась.
Добавлен: Vova Дата: 2016-03-27
Спасибо Братва
Добавлен: Алексей Дата: 2016-06-16
Люди добрые, у меня подобная проблема на контроллере S300, обучение по сименсу еще не было, и я не знаю с чем его едят, а начальство требует решить проблему!
Кто не равнодушен, отпишитесь мне на почту [email protected]
помогите мне, чайнику, разобраться с этой лобудой
Добавлен: Алексей Дата: 2016-07-12
С S7-300 проще - вставьте MMC карту из контроллера в программатор и при помощи Unlocks7_200and300.exe получите пароль.
Добавлен: Diego Дата: 2016-07-19
Мой процессор чип 224xp 4256bwp, но не мог читать бен через ЭСППЗУ программиста. Может кто-нибудь мне помочь.
Добавлен: Andrey Дата: 2016-10-01
Проблема в том чтобы у меня s-200 226cn v 2. 01 дамп снял но ни один способ не помог в решении с расшифровка. Помогите пожалуйста расшифровать
Добавлен: Hamed Дата: 2016-11-22
HI SIR
I cant download s7200.exe from this site:
http://rapidshare.com/files/3337879/S7-200.exe.html
could you help me and send the exe file to my email?
my email is [email protected]
thank you
Добавлен: Иван Дата: 2016-12-15
Спасибо, что выложили архив с программами. А то за давностью лет уже стерто со всех ресурсов интернета
Добавлен: [email protected] Дата: 2018-02-21
s7-200 smart sr60
eprom - 25p10vp
дамп снял расшифровать не могу, если знаете как сделать напишите на почту плз
Добавлен: [email protected] Дата: 2018-02-21
подскажите что можно предпринять?
Если нажимаю получить пароль то выдает такой пароль: O:"{аKы
Если нажимаю преобразовать в wld то получаю размер файла = 0
Добавлен: Oleg Дата: 2018-08-02
Я в шоке! Заместителю главного конструктора видимо делать нехер целыми днями, как только заниматься хаком plc. Где бы работу такую найти?
Добавлен: Shahzaib Дата: 2018-09-09
Sir kindly explain me the procedure of S7 300 password break
Добавлен: Boris Дата: 2019-03-31
I do not know how the "Vot Schema Scheme" scheme is connected to the PC and to the PLC S7-200. Does the CLK and DATA wires have to connect directly to the 5 and 6 pin of the chip? And where is the USB port connecting, and where is DB9 (whether male or female)? We kindly ask you to answer.
Добавлен: Алекс Дата: 2019-04-21
А подскажите пожалуйста пароль на архив, который выложил автор 😕
Добавлен: Naveed Дата: 2019-10-20
Yeh kp1533 Kaya hy. Ager ic hy to kitny pin ka hy. Es ki jaga koi or chal Jay ga
Добавлен: Собеседник Дата: 2019-11-01
Спасибо, парни.
Молодцы.
Добавлен: Simon Дата: 2020-07-13
Вам СПАСИБО ОГРОМНОЕ, тоже помыкался, к стати пароль был J ANUS
Добавлен: Aleksandr Дата: 2020-07-24
Коллеги, будте так добры.
У кого осталась Unlocks7_200and300 - поделитесь пожалуйста линком.
Заранее примного благодарен.
Добавлен: PICStarter Дата: 2020-10-10
Могу помочь с 4 уровнем защиты всем желающим.
Подробнее в видео: https://www.youtube.com/watch?v=tpVHFoZlel8&t=347s
Добавлен: Сергей Дата: 2020-12-06
У меня получилось, спасибо огромное автору!!! Мой cpu 224xp, память 24с256. Сливал PonyProg. Пароль оказался SHANGHAI (Шанхай).
Добавлен: фы Дата: 2021-05-14
S7-200 CN - Взломать не сломаем, но понизить с 4 до третьего уровня с известным паролем можем
Добавлен: фы Дата: 2021-05-14
S7-200 CN - Взломать не сломаем, но понизить с 4 до третьего уровня с известным паролем можем. даже если защита от апрлоада
Добавлен: x200881 Дата: 2021-07-27
Спасибо за проги и инфу. ПЛК 224, память 24c128n. Перебирал пароль онлайн 1,5 года, скорость 9,6 кбод не нашел в первых 4 разрядах, начал 5. Через прищепку без демонтажа не вышло. Выпаял считал AsProgrammer через перешитый usbasp, пароль оказался "VICOL".
Добавлен: в Дата: 2021-07-30
ФЫ, ДАВАЙ СПИШЕМСЯ. НУЖНА ПОМОЩЬ[email protected]
Добавить комментарий