Выгрузить программу из S7-200 просто? Или не очень?

По просьбе наших посетителей, данный материал перенесен с сайта plc4good.org.ua, в связи с полной его потерей. Всё возражения принимаются через форму обратной связи.

plc4good.org.ua/view_post.php?id=107

Предисловие

Написать эту статью меня подтолкнула ситуация с купленным на нашем опытном производстве станком для гидроабразивной резки листовых материалов ”ALBA” производства наших китайских коллег- машиностроителей из фирмы Sunrise. Станок прекрасно работал пару-тройку лет, и вдруг на дисплее системы ЧПУ появилось сообщение ”Emergency Stop” и станок всяческие действия производить отказался.

При этом на пульте управления в режиме двоичного счетчика красиво мигали две красные светодиодные лампы. Поскольку нормальной техдокументации не было, позвонили в сервисный центр продавца. Там ответили — присылайте заявку, платите денежку, опосля чего приедем, поглядим. Предложение, наверное, и было-бы принято, если-бы предприятие не сидело на картотеке, денег, естественно, не было.

Тогда начальство попросило меня посмотреть, хотя в служебные обязанности зама главного конструктора по АСУТП проектного института и не входит обслуживание станочного парка опытного производства.

S7_200

Пульт управления станком.

Процесс.

Фаза первая — подготовительная

Осмотр показал, что всей лабудой (кроме ЧПУ) управляет маленький S7-200 с одним дополнительным модулем ввода/вывода. Хотя мы в своем оборудовании 200-ю серию не применяли (все больше 300-ю), но адаптер PPI был в наличии (остался от комплектации какой-то панели оператора). Все просто — надо скачать софт из контроллера и посмотреть, что выставляет ошибку на ЧПУшную систему, благо выход контроллера горел только один, и при его отрывании от контроллера, ошибка с экрана ЧПУ пропадала, что впрочем, не разрешало работать станку.

S7_200

Вот этот контроллер.

Далее, казалось все очень тривиальным. Установил на ноутбук Step-7 Micro/Win, подключил контроллер, настроил интерфейс, Upload, а потом…. Окошко ввода пароля. Попытки ALBA, SUNRISE, SUNSHINE и CHINA ничего не дали :).
Звонок в техподдержку продавца несколько обескуражил – «У нас нет пароля, китайцы не дают. Если что-то с контроллером, мы им в поднебесную отправляем!» – …??? Верилось с трудом, и вопрос кряка этого всего хозяйства становился делом профессиональной чести.

Посмотрел сниффером порта что передается/принимается в процессе авторизации. Пароль контроллер передает в зашифрованном виде, поэтому информация малополезная, так как алгоритм шифрования неизвестен и может быть неограниченное количество вариантов.

Фаза вторая — сбор информации

Пошел в офис курить Интернет. Контроллер из шкафа станка демонтировал и прихватил с собой. Нашлось много чего интересного, в основном на plcforum.uz.ua. Сайт очень полезный, всем настоятельно рекомендую!

Программа распароливания проекта S7 –
Ссылка №1:
plcforum.uz.ua/viewtopic.php?f=1&t,=9426=unpassword
Хорошая вещь, реально работает (проверил позднее), но у нас нет проекта!

Дальнейшие поиски привели к методике считывания дампа из микросхемы 24С64 – памяти с последовательным доступом. Имея дамп тоже можно извлечь пароль.

Ссылка №2:
plcforum.uz.ua/viewtopic.php?f=1&t,=4648=%D0%BE%D0%B1%D1%80%D0%B0%D0%B7+S7+200
Огромное спасибо CoMod-у за подробную информацию.

Есть там еще одна ссылка, которая призвана прочитать пароль прямо с контроллера по штатному интерфейсу PPI.

Ссылка №3: rapidshare.com/files/3337879/S7-200.exe.html Программа реально обращается к контроллеру, даже читает тип ЦПУ и версию прошивки, но, увы, пароль не показывает — поле пустое. Подозреваю, что это когда-то работало, но на ранних версиях прошивок ЦПУ.
Программа реально устарела и уже неактуальна для новых процессоров.

Фаза третья — аппаратное обеспечение (hardware)

Следующий шаг — конструирование программатора. Недолго думая, сварил навесным монтажом то, что рекомендовал CoMod в ссылке №2 на базе порта LPT. Два КТ315, четыре резистора. Приварил проводки к микросхеме ПЗУ, установил PonyProg lancos.com/prog.html и … не работает!
Танцы с бубном и прощупывание сигналов при помощи мультиметра результатов не дали. Как оказалось позднее, плохо прощупывал мультиметром, но об этом потом.
Пошел курить Интернет дальше в поисках решения. В результате остановился на схеме программатора EXTRAPIC 5v.ru/extrapic.htm в упрощенном варианте — выкинул все, что не нужно для чтения 24С64, а это немало. Осталось две микросхемы MAX232 и 555ЛА3 (я поставил 155ТЛ3), четыре конденсатора, резистор и диод. Когда ездил за MAX232 в магазин (остальной хлам присутствовал) решил купить и 24С64 для экспериментов с программатором. Питание 5 Вольт взял с USB. Приварил проводки к микросхеме ПЗУ (уже новой в корпусе DIP), запустил PonyProg и … не работает!
Б…дь!

S7_200

Вот схема программатора:

S7_200

Так выглядит сваренное наскоро устройство.

S7_200

Вот расположение микросхемы на плате контроллера S7-200.

Фотографии платы контроллера с plcforum.uz.ua/ предоставлены CoMod-ом, за что ему огромная благодарность.

Фаза четвертая — танцы с бубном

Скачал winpic800.com/. Программа очень полезна для настройки и тестирования программатора — можно выбирать сигналы портов, которые подключены к микросхеме ПЗУ и переключать их программно в статике, проверяя, таким образом прохождение и нормализацию сигналов. Попутно пристально разглядел маркировку купленной 24С64 и ничего похожего на корпусе не нашел. ??? Не то подсунули в магазине (может быть случайно, может аналог)…? Поехал в другой магазин, и купил там 24С08 (на ней именно то и написано), подключил…
Нет ответа от чипа ПЗУ! Стал прощупывать сигналы мультиметром и … обнаружил замыкание, не совсем короткое, но все же, сигнальных проводов между собой в кабеле, соединяющем программатор с микросхемой ПЗУ. Кабель этот был накануне отстрижен от дохлой мышки (вот почему мышка-то не работала!)! Отрезал половину — коротыш пропал. Подключил и … о чудо — ЗАРАБОТАЛО! Подключил проводки к микросхеме 24С64 контроллера S7-200, запустил WinPic800 – чтение и … прочиталось 256 байт нулей…!!!???
Б…дь!

S7_200

Вот здесь и происходил процесс.

Фаза пятая — Победа!

Скачал программу ic-prog.com/. Запустил и …, о чудо, прочитал таки дамп. Выглядит начало довольно прикольно!

S7_200

Дальше дело техники, как написано в ссылке №1. Используем Unlocks7_200and300.exe для извлечения пароля из дампа. Выкачиваем проект Step-7 Micro/Win и пристально его изучаем. Победа!

Фаза шестая — изучение кода из поднебесной

Программа управления, собственно ничего хитрого собой не представляет. Обычное «релейное» управление всякой всячиной, типа гидравлики, насосами, клапанами и прочей дрянью, но… Присутствует код таймера на 360 рабочих смен по 8 часов. Таймер считает только тогда, когда включен какой-то выход, типа включения гидронасоса усилителя давления, то есть когда станок работает. Когда таймер досчитывает до конца, устанавливается флаг с адресом M13.0 :), типа, все ребята, платите денежки! Что это, как не вымогательство! Сбросить флаг невозможно никаким образом, кроме подключения отладчика, для чего нужен пароль!
Насколько это некрасиво и кто запрограммировал это, либо китайцы, либо наши посредники из Москвы мне, естественно, неведомо… Но хочется сказать: Ну и козлы же вы, ребята!

PS: Что интересно, на корпусе ПЛК маркером написано 360D. Сначала я принял это за пароль, потом конечно, стал понятен реальный смысл этой надписи :).

Кстати, первый вариант программатора, скорей всего, был рабочий. Виной всему был этот гнилой огрызок кабеля от мышки!

Дмитриев Алексей
Ярославль, 2011 год.

Необходимые инструменты (загрузить 2.5Мб) – https://disk.yandex.ru/d/fCJjpu3mQRF8bQ

Комментарии к материалу

Добавлен: Илья Дата: 2012-07-15

Такие засады – норма. У меня был S5 контроллер, который каждые 2500 часов вставал и требовал пароль. Пароль генерировался сложно, нужно было каждый раз дозваниваться и узнавать пароль. Сначала сломал пароль, потом перевели S5 на свежий сименс и блок пароля стерли.

Добавлен: komatic Дата: 2012-07-15

2Илья,поделитесь блоком пароля, если остался, интересно же…

Добавлен: Дмитрий Дата: 2012-08-31

А остался ли у кого сам Unlocks7_200and300.exe?
А то, на свалке его больше нет, как и самой свалки.

Добавлен: komatic Дата: 2012-09-07

Добавил ссылку в статью

Добавлен: Николай Дата: 2012-12-07

Пацаны ваще ребята, умеете! могете! ,)
Ну а вообще очень классно! Молодец

Добавлен: Николай Дата: 2012-12-07

Кто не понял первой фразы – она отсюда:
yapfiles.ru/show/232666/127e56360f0b740f8bd328289ada3496.flv.html?autoplay=1

Добавлен: Serj Balabay Дата: 2013-02-07

Думал что у меня был единичный случай. Формовочная машина стала без причины, написав на панели ‘ПОЗВОНИ МНЕ’ на китайском языке. Проект в контроллере был запаролен. Изза простоты задачи, проект переписали.
Сам вопрос – Unlocks7_200and300.exe это Unlock_and_converter_MMC_Image_S7.exe? Чтото не видно в приложеном архиве (simatic_s7-200_s7-300_mmc_password_unlock_2006_09_11.rar) этого файла

Добавлен: komatic Дата: 2013-02-07

2Serj
да это она, просто название чуть другое (Unlock_and_converter_MMC_Image_S7.exe)

Добавлен: Mikle Дата: 2013-02-22

Около 2000 года был куплен стационарный телефонный аппарат МТ-201 ‘Ирбис’. Года через три стал показывать 64 минуты на дисплее и не сохранялась информация о звонках. Аппарат был отремонтирован у продавца. Через три года проблема повторилась. Производитель к тому времени обанкротился и выяснилось что это характерно для всех аппаратов этой модели. Была установлена прошивка от другого аппарата, что решило вопрос.

Добавлен: delsnos Дата: 2013-03-24

Браво автору!

Добавлен: КолянЪ Дата: 2013-07-25

Область памяти М ведь энергозависима. Может они хотели сделать, чтобы станок хотя бы раз в году отключали от сети и таким образом сбрасывали этот бит М13.0?.. а потом подумали и решили – а почему бы не сбрасывать его самим за деньги, хехе ))

Добавлен: Виталий Дата: 2013-11-13

Огромное спасибо Автору!Следуя его инструкциям получил пароль и выгрузил проект из CPU-224CN, только в этом CPU стоит микросхема ПЗУ 4256BWP,но распиновка аналогична

Добавлен: Автор Дата: 2013-12-20

Область памяти М – энергонезависимая. Количество энергонезависимых байт устанавливается в конфигураторе контроллера.

Добавлен: Кирилл Дата: 2015-01-22

Огромное спасибо Автору!Получил пароль и выгрузил проект из CPU-224. В этом CPU стоит микросхема ПЗУ АТ24С128Т (Atmel). Использовал другой программатор, но принцип тот же.

Добавлен: dekor Дата: 2015-01-30

Bravo!
Very well documented material.I had learned from your experience.
Many thanks.

Добавлен: Анатолий Дата: 2015-02-13

Область памяти М, которая выбирается в конфигураторе контроллера на самом деле энергозависима, питается от батарейки внутри.
Было дело после падения контроллера на пол перестала храниться эта память, оказалось батарейка отвалилась.

Добавлен: Vova Дата: 2016-03-27

Спасибо Братва

Добавлен: Алексей Дата: 2016-06-16

Люди добрые, у меня подобная проблема на контроллере S300, обучение по сименсу еще не было, и я не знаю с чем его едят, а начальство требует решить проблему!
Кто не равнодушен, отпишитесь мне на почту [email protected]
помогите мне, чайнику, разобраться с этой лобудой

Добавлен: Алексей Дата: 2016-07-12

С S7-300 проще – вставьте MMC карту из контроллера в программатор и при помощи Unlocks7_200and300.exe получите пароль.

Добавлен: Diego Дата: 2016-07-19

Мой процессор чип 224xp 4256bwp, но не мог читать бен через ЭСППЗУ программиста. Может кто-нибудь мне помочь.

Добавлен: Andrey Дата: 2016-10-01

Проблема в том чтобы у меня s-200 226cn v 2. 01 дамп снял но ни один способ не помог в решении с расшифровка. Помогите пожалуйста расшифровать

Добавлен: Hamed Дата: 2016-11-22

HI SIR
I cant download s7200.exe from this site:
rapidshare.com/files/3337879/S7-200.exe.html
could you help me and send the exe file to my email?
my email is [email protected]
thank you

Добавлен: Иван Дата: 2016-12-15

Спасибо, что выложили архив с программами. А то за давностью лет уже стерто со всех ресурсов интернета

Добавлен: [email protected] Дата: 2018-02-21

s7-200 smart sr60
eprom – 25p10vp
дамп снял расшифровать не могу, если знаете как сделать напишите на почту плз

Добавлен: [email protected] Дата: 2018-02-21

подскажите что можно предпринять?
Если нажимаю получить пароль то выдает такой пароль: O:'{аKы
Если нажимаю преобразовать в wld то получаю размер файла = 0

Добавлен: Oleg Дата: 2018-08-02

Я в шоке! Заместителю главного конструктора видимо делать нехер целыми днями, как только заниматься хаком plc. Где бы работу такую найти?

Добавлен: Shahzaib Дата: 2018-09-09

Sir kindly explain me the procedure of S7 300 password break

Добавлен: Boris Дата: 2019-03-31

I do not know how the ‘Vot Schema Scheme’ scheme is connected to the PC and to the PLC S7-200. Does the CLK and DATA wires have to connect directly to the 5 and 6 pin of the chip? And where is the USB port connecting, and where is DB9 (whether male or female)? We kindly ask you to answer.

Добавлен: Алекс Дата: 2019-04-21

А подскажите пожалуйста пароль на архив, который выложил автор ?,

Добавлен: Naveed Дата: 2019-10-20

Yeh kp1533 Kaya hy. Ager ic hy to kitny pin ka hy. Es ki jaga koi or chal Jay ga

Добавлен: Собеседник Дата: 2019-11-01

Спасибо, парни.
Молодцы.

Добавлен: Simon Дата: 2020-07-13

Вам СПАСИБО ОГРОМНОЕ, тоже помыкался, к стати пароль был J ANUS

Добавлен: Aleksandr Дата: 2020-07-24

Коллеги, будте так добры.
У кого осталась Unlocks7_200and300 – поделитесь пожалуйста линком.
Заранее примного благодарен.

Добавлен: PICStarter Дата: 2020-10-10

Могу помочь с 4 уровнем защиты всем желающим.
Подробнее в видео: https://www.youtube.com/watch?v=tpVHFoZlel8&t,=347s

Добавлен: Сергей Дата: 2020-12-06

У меня получилось, спасибо огромное автору!!! Мой cpu 224xp, память 24с256. Сливал PonyProg. Пароль оказался SHANGHAI (Шанхай).

Добавлен: фы Дата: 2021-05-14

S7-200 CN – Взломать не сломаем, но понизить с 4 до третьего уровня с известным паролем можем

Добавлен: фы Дата: 2021-05-14

S7-200 CN – Взломать не сломаем, но понизить с 4 до третьего уровня с известным паролем можем. даже если защита от апрлоада

Добавлен: x200881 Дата: 2021-07-27

Спасибо за проги и инфу. ПЛК 224, память 24c128n. Перебирал пароль онлайн 1,5 года, скорость 9,6 кбод не нашел в первых 4 разрядах, начал 5. Через прищепку без демонтажа не вышло. Выпаял считал AsProgrammer через перешитый usbasp, пароль оказался ‘VICOL’.

Добавлен: в Дата: 2021-07-30

ФЫ, ДАВАЙ СПИШЕМСЯ. НУЖНА ПОМОЩЬ[email protected]

5 1 голос

Оцените статью!

guest
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии