半小时搞定西门子S7.docVIP

半小时搞定西门子S7-200CN 四级密码破解几乎零投资 西门子S7-200CN解密教程需要热风枪一把，镊子一把，烙铁一把需要自制24C编程器一个，（DB9头一个，4.7K电阻两个（或贴片472），电阻等可以在废旧电器里找，现在贴片元件最多了。下载安装PonyProg2000-CN软件下载安装WINHEX软件拆机机密请慎用，动手能力不强者或没有电子电路维修经验者慎用。有问题交流联系我QQ ：1300358487一：拆机解密，经实践，已证实此方法可以破解迄今为止市面所售的所有西门子S7-200PLC（进口，国产CN型）的密码，型号包括（212、214、216、222、22CN、224、224CN、224XP、224XP CN、226、226CN、226XM）轻松破解3级和POU密码。是迄今为止最为先进且真正实用的解密方法，直接读取PLC的EEPROM芯片获取密码。（注：目前市面上没有纯软件可解西门子S7-200CN新版，必须通过拆机来解密，如果说卖家说有不需拆机能解密者，请你三思而后行）.????二：初次解密时有条件的最好能够先找一台PLC机实验或我们提供的一个有程序的EEPROM芯片24C512读取数据，按照下面的流程操作一次。不可莽撞行事，以免有不可预料的麻烦。下面你需要自备工具2件，第一件就是电烙铁或风枪一个最好是热风枪（如果没有可以买一个工业塑料焊枪小的那种），第二件就是镊子一把。按下图制作一个24C的编程器三：在拆机解密之前，请先用西门子4.0以上的编程软件“STEP 7-MicroWIN”或西门子S7-200内存读写工具，读取一下PLC,第一确定PLC的加密等级，第二确定PLC的通讯波特率与PLC地址。用“西门子S7-200内存读写工具”读出PLC的内存数据，（断电保持的数据等）四：按照西门子的PLC的安装说明拆开上盖，拆下CPU板，找到24CXX芯片，用电烙铁或风枪拆下EEPROM芯片来。（注：CPU221CN，CPU222 CN EEPROM芯片是24C64，CPU224 CN，CPU224XP CN EEPROM芯片是24C256，CPU226 CN，CPU226XP CN EEPROM芯片是24C512，其他型号的PLC可以不用拆机解密，解密软件网络上下载五：接下来下一步开始读EEPROM芯片，把芯片和编程器焊接 好后，先插DB9的数据线，5V供电采用USB，然后再插USB供电，打开软件PonyProg2000-CN设置一下通讯端口后点击读取器件，保存。注意保存此文件将来用它可以恢复PLC至拆机前的状态。六：S7-200CN（新版PLC）解密分3级解密与4级解密：3级密码破解比较简单，芯片读取完数据后保存为BIN文件后，你就可以直接运行此套软件包里的“S7－200拆机解密软件”直接就可以显示密码了。然后把芯片焊回CPU板上就可以用密码上载程序了。S7-200CN（新版PLC）4级解密是CN解密的关键技术，我们先看看西门子官方说法： ：新版本的S7-200plc新增加了第4级保护，就是禁止读取和写入，无论你是否已知密码。都无法上传PLC中的程序。破解这种加密的PLC确实有一定的难度。破解4级密码思路是：西门子的程序都是分为程序块、数据块和系统块的，密码就是在系统块里的，在BIN文件里是分别保存的。但是4级的你读取了密码也不能上载程序，所以要把4级修改成3级或更低级，但是如果你只修改密码保护级别，又牵扯到一个关于块的校验码的问题，校验错误同样不能上载程序或上载来是空白程序，并且PLC故障灯报错。我们能否用已知3级加密的整个系统块来替换末知的整个4级加密系统块，程序块、数据块不动。这样，我们就能够破解S7-200CN plc第4级的加密保护。这就是最简便容易破解4级保护的方法。也是目前唯一的便捷解密之法。：打开4级的BIN文件，把(226cn为a5f7，224cn为5ebf)04级改为03级保存，然后用“S7－200拆机解密软件”读出bin文件密码，此时读出的密码就是排列成的密码，但是文件不能写回24C的否则PLC报错。224cn密码区:5ec0到5ec7.????226cn密码区:a5f8到a5ff.??????224密码区:3e76到3e7d.?????? 226密码区:a690到a697.?????????? 222密码区:1e76到1e7d .??九：接下来我们现在要找出系统块的在BIN文件中的位置：那么块的位置在哪里呢？请安装winhex软件，。打开你刚才所保存的4级的BIN文件，再打开同型号的CPU型号的3级文件，举例224CN。看图，你拖动鼠标选择5e22到5fcf之间的数据，然后在选择区域右单击鼠标，在随后弹出的选择框中点击“复制”，十：然