PLC解密方法之芯片解密汇编.pptVIP

PLC解密方法 加密技术VS解密技术 PLC的加密与解密就是一对矛与盾的双生子，在PLC加密技术诞生之初，解密也同时出现了。最初的解密完全是利用PLC设计上的缺陷，比如早期三菱PLC的缺陷：靠上位机软件判断密码正确与否。也就是电脑一旦连接PLC，PLC就自动把密码上传给电脑，解密者可以很容易就拦截到这段数据，然后经过简单的翻译就能够得到密码。后来包括国内的一些厂家做了这样的改进：PLC与电脑的数据通信采用密文，摈除原来的明文。但是解密者经过试探仍可以得到密文的加密规则，从而得到密码。 鉴于此，加密技术进入第二阶段：密码比较由PLC执行，即密码不再上传。这样就避免了解密者拦截密码。这一阶段解密难度明显加大了很多，对解密者的技术要求也明显更加专业了。这一时期的解密专家基本上都是高级语言的编程高手，部分甚至是黑客。主要是通过枚举法、黑盒试探等方法进行解密，这种方法的优点是可以解决大部分密码，但是缺点是耗时比较长，对解密者的技术要求比较高。同一时期还有一部分人使用其他的方法，比如寻找特殊寄存器之类的，不细述了。就像亡羊补牢中讲的一样，PLC厂家很快也发现了这个漏洞，于是乎第二阶段的美好时光就过去了。PLC厂家又开始改进了。 这是PLC加密技术的第三阶段,典型代表是西门子和欧姆龙。这一阶段西门子的措施是：采用四级密码，如果设备商把PLC的密码设置为4级，就算是有正确密码也无法进入PLC读取程序。而欧姆龙则采用，限时限次的方法，即在2个小时内密码只能试5次，如果第5次仍然密码不正确，只能等2个小时后再试。当然也有其他的类似方法，但基本思路都一致。这时期，解密的难度更大了，曾有一段时间甚至市场上出现了，无法解密的PLC。但是！注意这个词，意味着情况有变了。是的伟大的解密者们经过艰苦探索，仍然找到了两种方法：特殊标志位擦除和拆芯片。其中，特殊标志位擦除在我讲的第二阶段中曾出现过，但是那时期不是主要是针对某个品牌某个型号，并没有推广价值。拆芯片也就是今天要说的重点：芯片级解密。玩过MCU、DSP的朋友都知道，RAM ROM EEPROM之类的，是的这时候就是用特殊软件直接读取芯片内存中的二进制数。那么到此，你可能认为：这可是把万能钥匙，什么PLC的密码都可以解开了。很显然，没有那么简单！ PLC的芯片解密面临三个困难！第一，有些PLC厂家把芯片的铭牌擦掉了，这样解密者只能通过猜和试来确定芯片的种类了。有一些公司，甚至会生产不发售的芯片，这意味着，解密者无法找到该芯片的任何资料，这对解密来说是灾难性的！第二，直读芯片会造成数据丢失、程序错乱、烧毁芯片等毁灭性后果，主要是大多数读取芯片的工具都是解密者自己手工制作的，有时候某个导线的线头短路到芯片的特殊管脚都可能造成烧片(亲身体验，切勿模仿啊啊啊啊)。第三，芯片自身加密，比如某款CPU自带3个加密位，L1、L2、L3,（具体是都是哪一个只有芯片生产商知道，PLC厂家也不清楚），一旦这三个被置位，那么芯片就只能擦除重写，程序就不能读出。 当遇到第三种情况时，基本上解密的希望就无限接近0了。 再说说擦除特殊标志位的方法，这种方法完全是拼人品、拼时间。想要找到某一款PLC的特殊标志位就只能拿时间去耗，一个一个试验，对于一些只读标志位还是要拆芯片，通过计算确定擦除的点位。芯片解密时，通常会购买一块相同的芯片，这情况允许时将原芯片中的数据复制到备用芯片中，通过解备用芯片来保证数据的完整性。但是这种方法的代价比较高且一些进口芯片很难购买。 总之一句话：芯片解密也有成功率的问题。 将PLC加密技术与PLC解密技术的发展划分为三个阶段只是本人的浅见，而事实上，当前市场上同时存在这三阶段的产品，有可能你的公司里既有FX1N系列的PLC，也有S7-300和施耐德欧姆龙最新的PLC 。而PLC的解密市场既有顶尖高手黑客也有刚入门的菜鸟，有成立团队的也有单兵作战的，有靠设备拼软件的也有单纯搞技巧性的，可以说是林林总总不一而足。但是99%的PLC密码破解者的都是中低水准的入门者。 当然限于本人技术水平有限，可能还有更好的方法亦未可知，还望不要见笑。 (欢迎交流 江西 南昌 声明 本文旨在探讨PLC解密技术与加密技术的发展历程，请勿用作商业用途。 （欢迎交流152-7919-5191）