惊爆！！欧姆龙CP1H密码破解大揭秘

大家好：

我们共同聚会这样的一个plc解密交流的平台，希望大家都能够畅所欲言。今天开坛希望各路英豪都能共聚一堂whatsapp网页版，共商解密大事！

在此之前一直没机会接触omron的PLC，终于有一天telegram中文版，得到了一位好心网友的帮助，借到一台CP1H plc，经过几天的研究，得到了不少的知识，今天毫无保留的全部公布出来，因为刚刚开始，难免会有失误之处，不过没关系，“失败是成功他娘”嘛！在此之后我会经常的更新帖子，把最新的破解进程发到这里，更正失误之处。

直读任务读保护密码

大家先打开这个在本论坛下载的程序样例文件  ，打开后左侧 有这样的画面

加锁了，怎么办呢？好办！ 请打开PLC属性对话框，在对话框里选择 保护，就出行如下画面

任务读保护密码框发灰，不知道也修改不了密码，那么一个专业工具，星号查看器 来了，你按照界面说明操作，星号查看器就显示了密码，看下图

功能块密码破解

要破解这个密码你首先下载上面的那个程序个例子，当你打开程序后会发现，功能块上加锁了你怎么点都显示不了程序画面，再使用上面的方法已经不灵了。不知密码藏在哪里，有知道的网友请发布上来，我替大家先谢谢你！虽然找不到密码，但是我们可以修改密码，以达到查看的目的，本着这一宗旨，那么一个新的工具又来了，就是 按钮突破器

现在你右单击带锁的功能块点击属性》保护，就是如下画面

看到了保护状态是禁止写入和显示，只要知道这个密码，点击 释放 按钮就可以显示了，然而你并不知道密码啊，怎么办？这么办，现在你可以点击运行按钮突破器 打开后是如下画面

按钮突破器打开后你把鼠标放到 功能块属性 画面上，发灰的地方全部点亮了，

这时你可以双击设置按钮，

不用输入密码，再点击 设置按钮，又回到了刚才的状态，看上去并没有什么变化，然而密码已经被你修改掉了。这是你再双击 释放 按钮 出现如下画面

这时你还是不用输入密码，直接点击释放按钮保护状态框里现在显示无保护了，

关闭，再看看刚才加密的功能块，锁没了，双击打开了。。。

是不是好爽啊？

其实这不过是雕虫小技，有软件破解基础的用软件跟踪的方法跟踪一下Cx-programmer，找到断点，跳转一下，修改几个库文件，就可以了，不必这么麻烦，但是不懂软件破解的只有这么办了。我们现在已经可以直接读出这个功能块的密码，我们会适时公开。

功能块密码直读法：

这曾经是绝密文件，近期被人泄露公开了，既然公开就彻底吧！你需要到我们论坛下载独家提供的WIN Hex编辑软件，

当你打开程序，直至操作到需要你输入密码的对话框的时候暂停，打开win hex软件，点击 工具》打开RAM》选择欧姆龙的编程软件，再选择所有内存，这时你会发现密码惊现人间！上图

当然关于这个功能密码还有更简单的便捷的OD直读法，以后会慢慢的公布，希望大家多多支持。

最要人命的UM读保护

知己知彼、百战不殆！首先你要知道加密层次等级。这个要看A99CH，关于这个使用手册有详细的说明，OMRON官方网站也有说明，在此不在多议，简单提一下。

A99CH

00位

UM读保护

)UM读出保护状态以PLC（用户程序全体）单位表示是否设定了读出保护

0：没有设定UM 读出保护1：设定UM 读出保护

01位

任务读保护

)任务读出保护状态 以任务单位表示是否设定了读出保护

0：没有设定任务读出保护  1：设定任务读出保护

02位

禁止覆盖

)读出保护设定时的程序覆盖禁止/允许设定状态表示程序覆盖允许/禁止状态

0：允许中 1：禁止中

03位

禁止传卡

)读出保护设定时的，向程序的存储盒备份允许/禁止状态表示程序的存储盒传送允许/禁止状态

0：允许中 1：禁止中

12位

UM禁止解除

)UM 读出保护解除禁止/允许状态在UM 读出保护设定的状态下，表示是否接受其解除

0：允许UM 读出保护设定的解除 1：禁止UM 读出保护的解除

13位

任务保护禁止解除

)任务读出保护解除 禁止/允许状态 在任务读出保护设定的状态下，表示是否接受其解除

0：允许任务读出保护的解除 1：禁止任务读出保护

这里A99的数值为B，请大家看看是何种加密......

规定次数失败、存储器全部清除时、保护解除禁止经过定时间后有人说若能够直接读出以下数据就可以解密了,   8位密码就在A527.0-----A527.7中.   这个只有你来证实了！

拆机芯片解密法

现在市面主流的解密方法就是232通讯解密，关于这个方法在随后的帖子里公布，但是现在国人还没有人能够知道CP1H的密码，你若不信，你下次买软件的时候问他一下能否读出密码，回答是 否 。据我所知道的这10几个解密人中没有一个能解出密码，但我的意思并不是说他们破解不了，只是套路不同。

大家都知道CP1H的有存储盒，用来备份程序的，就是说plc的程序可以从一台转移到另外一台，这个存储盒就是中间传播媒体，大家搜索一下这个关键词，就知道存储盒是什么样的了“CP1W-ME05M”。

最早我们这里的海源的压机都是用的CJ1M的plc，想换plc就直接用卡备份转移就行，因为CJ1M的卡更好读了，大家搜索一下看看这个卡吧！

除了你可以读取上面的卡的芯片外您还可以拆机读取他的EEPROM芯片，芯片中就包含密码，并且弱智到就是明码，连基本的加密保护都没有，意思是说你读取了芯片就直接看到了密码，连二次编译都不用。

这种卡我还有一个当年实验用的，有谁想要的请联系我。

有一种说法，叫读机器码解密

如果CP1H没有密码保护，可以使用HOSTLINK C模式或FINS模式通讯协议用VB或VC编程轻易读出程序代码。大家都知道欧姆龙的CJ1M、CP1H可以设定UM读保护和任务读保护，在上载PLC程序时，需经过编译，PLC中的机器代码转变成梯形图。当CP1H设置了密码后，就禁止了读程序代码，通过修改CP1H时序设置值whatsapp官网，修改时序来导致PLC的看门狗出错，这时CP1H减弱了对密码保护的限制，这时就可以载 PLC中的机器代码，先不经过反编译直接打包上传到电脑中。通过分析电脑中的PLC机器代码，找出先前通过串口监视软件得到的密码保护对应的机器代码。并修改其部分功能。然后软件开发者，用自己开发的下载工具把这些经过修改的PLC机器代码下载到另外一空白的 PLC 中。由于这个PLC中的密码保护已受到限制，所以用CXP 编程软件就可以上载到梯形图。这形同拆机解密读芯片，你如果能读出OMRON的存储器芯片，修改一下机器码也能行，看图

在左边工程区有个设置，——》时序——》监视循环时间改成4000，循环时间32000。退出设置

然后连线，在线工作，传送到PLC，单选设置打勾，其他不打勾，确定，即可

虽然上载不了梯形图，但可以读机器代码了。把读出的机器代码使用VB编程重新写入CP1H就得到了梯形图。以上解密方法完全适合于CJ1M，因为CJ1M和CP1H的通讯协议是一样的。不要使用CP1H的USB口，和CJ1M的外设口，只能使用串口读程序代码，因为协议不同。以下是在本坛找到的几个主要机器代码：  LD00  OUT100              (8008      20A8 80A8)

END                       (1801)

AR1001 FUN49 0 0 #1234    (9EE9 1E31 0100 0100 1234)

时序数值设置错误解决办法

上回书说到，修改时序值使看门狗定时器报警出错，在PLC乱了分寸，慌乱之时我们乘虚而入，读取机器吗，这是上表，但是随后问题就出现了：

P1H时序数值设置错误 上传到了PLC，提示无法转换模式，关闭编程软件后，再次连接USB无法识别，使用RS232还是无法连接到PLC，运行灯亮。救命啊！该怎么办？PLC报废了吗？

解决办法：

方法一 可以用存储盒来重新传送系统参数！

方法二可以用PC调试软件将PLC置于编程模式，此时可以通讯！重新修改时序值！下载即可！

具体办法：

有储存盒的话把plc电源关掉，插入储存盒，把dip开关2打到on接通电源。储存盒里的程序会知道传入plc。用编程软件的话只要plc上的dip开关1没在on位置（on是不可写入，off是可以写入）只要联机把程序重新传到plc即可。

用串口调试工具，连接RS232C口，发送@00SC0050*回车。发送周期设为100，自动发送

审核编辑 黄昊宇