大家好：
我們共同聚會這樣的一個plc解密交流的平臺，希望大家都能夠暢所欲言。今天開壇希望各路英豪都能共聚一堂，共商解密大事！
在此之前一直沒機會接觸omron的PLC，終于有一天，得到了一位好心網友的幫助，借到一臺CP1H plc，經過幾天的研究，得到了不少的知識，今天毫無保留的全部公布出來，因為剛剛開始，難免會有失誤之處，不過沒關系，“失敗是成功他娘”嘛！在此之后我會經常的更新帖子，把最新的破解進程發到這里，更正失誤之處。

直讀任務讀保護密碼
大家先打開這個在本論壇下載的程序樣例文件 ，打開后左側 有這樣的畫面

加鎖了，怎么辦呢？好辦！ 請打開PLC屬性對話框，在對話框里選擇 保護，就出行如下畫面

任務讀保護密碼框發灰，不知道也修改不了密碼，那么一個專業工具，星號查看器 來了，你按照界面說明操作，星號查看器就顯示了密碼，看下圖

功能塊密碼破解

要破解這個密碼你首先下載上面的那個程序個例子，當你打開程序后會發現，功能塊上加鎖了你怎么點都顯示不了程序畫面，再使用上面的方法已經不靈了。不知密碼藏在哪里，有知道的網友請發布上來，我替大家先謝謝你！雖然找不到密碼，但是我們可以修改密碼，以達到查看的目的，本著這一宗旨，那么一個新的工具又來了，就是 按鈕突破器

現在你右單擊帶鎖的功能塊點擊屬性》保護，就是如下畫面

看到了保護狀態是禁止寫入和顯示，只要知道這個密碼，點擊 釋放 按鈕就可以顯示了，然而你并不知道密碼啊，怎么辦？這么辦，現在你可以點擊運行按鈕突破器 打開后是如下畫面

按鈕突破器打開后你把鼠標放到 功能塊屬性 畫面上，發灰的地方全部點亮了，

這時你可以雙擊設置按鈕，

不用輸入密碼，再點擊 設置按鈕，又回到了剛才的狀態，看上去并沒有什么變化，然而密碼已經被你修改掉了。這是你再雙擊 釋放 按鈕 出現如下畫面

這時你還是不用輸入密碼，直接點擊釋放按鈕保護狀態框里現在顯示無保護了，

關閉，再看看剛才加密的功能塊，鎖沒了，雙擊打開了。。。

是不是好爽啊？

其實這不過是雕蟲小技，有軟件破解基礎的用軟件跟蹤的方法跟蹤一下Cx-programmer，找到斷點，跳轉一下，修改幾個庫文件，就可以了，不必這么麻煩，但是不懂軟件破解的只有這么辦了。我們現在已經可以直接讀出這個功能塊的密碼，我們會適時公開。

功能塊密碼直讀法：

這曾經是絕密文件，近期被人泄露公開了，既然公開就徹底吧！你需要到我們論壇下載獨家提供的WIN Hex編輯軟件，

當你打開程序，直至操作到需要你輸入密碼的對話框的時候暫停，打開win hex軟件，點擊 工具》打開RAM》選擇歐姆龍的編程軟件，再選擇所有內存，這時你會發現密碼驚現人間！上圖

當然關于這個功能密碼還有更簡單的便捷的OD直讀法，以后會慢慢的公布，希望大家多多支持。

最要人命的UM讀保護

知己知彼、百戰不殆！首先你要知道加密層次等級。這個要看A99CH，關于這個使用手冊有詳細的說明，OMRON官方網站也有說明，在此不在多議，簡單提一下。

A99CH

00位

(

UM讀保護

)UM讀出保護狀態以PLC（用戶程序全體）單位表示是否設定了讀出保護

0：沒有設定UM 讀出保護1：設定UM 讀出保護

01位

(

任務讀保護

)任務讀出保護狀態 以任務單位表示是否設定了讀出保護

0：沒有設定任務讀出保護1：設定任務讀出保護

02位

(

禁止覆蓋

)讀出保護設定時的程序覆蓋禁止/允許設定狀態表示程序覆蓋允許/禁止狀態

0：允許中 1：禁止中

03位

(

禁止傳卡

)讀出保護設定時的，向程序的存儲盒備份允許/禁止狀態表示程序的存儲盒傳送允許/禁止狀態

0：允許中 1：禁止中

12位

(

UM禁止解除

)UM 讀出保護解除禁止/允許狀態在UM 讀出保護設定的狀態下，表示是否接受其解除

0：允許UM 讀出保護設定的解除 1：禁止UM 讀出保護的解除

13位

(

任務保護禁止解除

)任務讀出保護解除 禁止/允許狀態 在任務讀出保護設定的狀態下，表示是否接受其解除

0：允許任務讀出保護的解除 1：禁止任務讀出保護

這里A99的數值為B，請大家看看是何種加密......

規定次數失敗、存儲器全部清除時、保護解除禁止經過定時間后有人說若能夠直接讀出以下數據就可以解密了, 8位密碼就在A527.0-----A527.7中. 這個只有你來證實了！

拆機芯片解密法

現在市面主流的解密方法就是232通訊解密，關于這個方法在隨后的帖子里公布，但是現在國人還沒有人能夠知道CP1H的密碼，你若不信，你下次買軟件的時候問他一下能否讀出密碼，回答是 否 。據我所知道的這10幾個解密人中沒有一個能解出密碼，但我的意思并不是說他們破解不了，只是套路不同。

大家都知道CP1H的有存儲盒，用來備份程序的，就是說plc的程序可以從一臺轉移到另外一臺，這個存儲盒就是中間傳播媒體，大家搜索一下這個關鍵詞，就知道存儲盒是什么樣的了“CP1W-ME05M”。

最早我們這里的海源的壓機都是用的CJ1M的plc，想換plc就直接用卡備份轉移就行，因為CJ1M的卡更好讀了，大家搜索一下看看這個卡吧！

除了你可以讀取上面的卡的芯片外您還可以拆機讀取他的EEPROM芯片，芯片中就包含密碼，并且弱智到就是明碼，連基本的加密保護都沒有，意思是說你讀取了芯片就直接看到了密碼，連二次編譯都不用。

這種卡我還有一個當年實驗用的，有誰想要的請聯系我。

有一種說法，叫讀機器碼解密

如果CP1H沒有密碼保護，可以使用HOSTLINK C模式或FINS模式通訊協議用VB或VC編程輕易讀出程序代碼。大家都知道歐姆龍的CJ1M、CP1H可以設定UM讀保護和任務讀保護，在上載PLC程序時，需經過編譯，PLC中的機器代碼轉變成梯形圖。當CP1H設置了密碼后，就禁止了讀程序代碼，通過修改CP1H時序設置值，修改時序來導致PLC的看門狗出錯，這時CP1H減弱了對密碼保護的限制，這時就可以載 PLC中的機器代碼，先不經過反編譯直接打包上傳到電腦中。通過分析電腦中的PLC機器代碼，找出先前通過串口監視軟件得到的密碼保護對應的機器代碼。并修改其部分功能。然后軟件開發者，用自己開發的下載工具把這些經過修改的PLC機器代碼下載到另外一空白的 PLC 中。由于這個PLC中的密碼保護已受到限制，所以用CXP 編程軟件就可以上載到梯形圖。這形同拆機解密讀芯片，你如果能讀出OMRON的存儲器芯片，修改一下機器碼也能行，看圖

在左邊工程區有個設置，——》時序——》監視循環時間改成4000，循環時間32000。退出設置

然后連線，在線工作，傳送到PLC，單選設置打勾，其他不打勾，確定，即可

雖然上載不了梯形圖，但可以讀機器代碼了。把讀出的機器代碼使用VB編程重新寫入CP1H就得到了梯形圖。以上解密方法完全適合于CJ1M，因為CJ1M和CP1H的通訊協議是一樣的。不要使用CP1H的USB口，和CJ1M的外設口，只能使用串口讀程序代碼，因為協議不同。以下是在本壇找到的幾個主要機器代碼：LD00OUT100 (8008 20A8 80A8)

END (1801)

AR1001 FUN49 0 0 #1234 (9EE9 1E31 0100 0100 1234)

時序數值設置錯誤解決辦法

上回書說到，修改時序值使看門狗定時器報警出錯，在PLC亂了分寸，慌亂之時我們乘虛而入，讀取機器嗎，這是上表，但是隨后問題就出現了：

P1H時序數值設置錯誤 上傳到了PLC，提示無法轉換模式，關閉編程軟件后，再次連接USB無法識別，使用RS232還是無法連接到PLC，運行燈亮。救命啊！該怎么辦？PLC報廢了嗎？

解決辦法：

方法一 可以用存儲盒來重新傳送系統參數！

方法二可以用PC調試軟件將PLC置于編程模式，此時可以通訊！重新修改時序值！下載即可！

具體辦法：

有儲存盒的話把plc電源關掉，插入儲存盒，把dip開關2打到on接通電源。儲存盒里的程序會知道傳入plc。用編程軟件的話只要plc上的dip開關1沒在on位置（on是不可寫入，off是可以寫入）只要聯機把程序重新傳到plc即可。

用串口調試工具，連接RS232C口，發送@00SC0050*回車。發送周期設為100，自動發送

審核編輯 黃昊宇