[?]: How to unlock password s7 200 connecting PC/PPI cable?

[Abdo_1526]

I can't upload the programme from a S7 200 cpu 226 v2.0 because is protected by a password

I tried some utilities but no way
I can not use a serial PPI cable because the speed of the plc is changed to 187.5 k/s
I have used a USB pc adapter cable to reconize the plc

please these a way to solve this probleme

thanks a lot

A.G

[votuandktd]

This program only crack password S7-200 v1. Have any program crack pass S7-200 V2?

[pnhgholami]

Dear All,
this link was deleted, would you please share it again?

http://rapidshare.com/files/3337879/S7-200.exe.html

best regard

[vlad2006gr]

Relink
https://www.rapidshare.com/files/255583 ... _09_11.zip
Good luck!

[stas_work]

vlad2006gr перезалейте, пожалуйста, файлик. сервер ругается что лимит трафика владельца файла исчерпан

[WH_Mike]

Всем привет.
Была проблема - не мог скачать бекап программы из CPU 224 v02.00, контроллер требовал пароль для скачивания.

Если вкратце, то пароль удалось получить с помощью китайской проги Crack_s7-200CN-UNLOCK_RAR_OK ,
которой поделился phanvantuan6 (см.выше), за что ему огромное СПАСИБИЩЕ!

Если подробнее, то процесс был следующим:
1) Заказчик обратился к нам с заявкой на устранение неисправности контроллера S7-200 (CPU 224).
Связанная с нми панель TD200 перестала отображать меню и ругалась на отсутствие отклика контроллера,
при этом контроллер продолжал выполнять свою программу, работал без сигнализации каких-либо неисправностей.
Но связи с контроллером установить не удавалось. Контроллер был снят на диагностику и ремонт,
что позволило в дальнейшем поэкспериментировать со взломом.
2) После ремонта (замены около 15 резистивных сборок на разных платах) связь с контроллером появилась,
и была сделана попытка скачивания и сохранения бэкапа программы проекта для возможного последующего
восстановления (если контроллер вдруг накроется медным тазом). Однако PLC потребовал пароль для скачивания.
3) Была проведена попытка подбора пароля с помощью проги KeyS7 v3.14 (она же - "Search password S7",
http://www.sp-s7.narod.ru , мой респект PPP )
Для связи с PLC использовался PC адаптер USB-MPI/PPI. К сожалению, с этой прогой и этим адаптером связь с контроллером
установить не удалось, прога тупо зависала на этапе установки связи, так что до вскрытия пароля дело вообще не дошло.
4) Тогда была предпринята попытка скачивания дампа EEPROM (как указано в начале темы) посредством изготовления
программаторов I2C Serial и подпайки к микросхеме AT24C256N прямо на плате контроллера.
Для чтения EEPROM использовалось ПО PoniProg (c его простейшим программатором через LPT) и после неудачи -
воспользовался прогой IC-Prog и программатором с MAX232 и К1533ЛА3 как рассказал Info в начале темы
(за что ему отдельное СПАСИБО!!! ). После танцев с бубном, выяснил, что программатор на LPT
(c прогой PoniProg) не работает и выяснить причину этого весьма затруднительно, так как ни тактовых импульсов,
ни импульсов данных увидеть не возможно за краткий миг опроса и выдачи прогой ошибки отсутствия связи.
Прога IC-Prog с программатором на СОМ порте в принципе не ругалась, честно пыталась считать данные,
но считывала явную ерунду - либо 00h, либо FFh, либо еще что-то, но постоянное. Зато длительный процесс чтения
позволил выяснить причину неудачи - на впаянной в плату PLC микросхеме EEPROM сигнал тактовой частоты имел
амплитуду 1,5 - 1,8 В вместо положенных 5 В (схема или проц сильно грузят программатор). Уменьшение ограничительного
резистора с 4,7 кОм до 150 Ом явного эффекта не дало (амплитуда поднялась лишь до 2 - 2,5 В). Дальше уменьшать не стал
дабы не спалить проц и схему. Пришлось выпаять EEPROM из платы контроллера и припаять непосредственно
к программатору, после чего дамп был успешно считан и сохранен в виде *.bin файла.
5) После получения BIN файла попытался вскрыть пароль с помощью проги: "Unlock_and_converter_MMC_Image_S7.exe"
(она же "Unlocks7_200and300.exe"). К сожалению, прога выдала неверный пароль: *икH+ZлK (вместо 12529 , как
выяснилось позже), при этом как я читал в справке к KeyS7 у S7-200 пароль не может иметь строчных символов, все
символы должны быть заглавными (если буквы есть в пароле). Так что и здесь неудача.
Для анализа дампа EEPROM и развития Unlock_and_converter_MMC_Image_S7.exe выложил BIN файл для CPU224
c паролем 12529 для скачивания из PLC здесь:
http://www.4shared.com/file/cHSIL4ru/CP ... 12529.html
6) Вот силы иссякли, середина ночи за окном, последняя надежда - чудо китайской программной мысли,
прога: Crack s7-200CN-UNLOCK RAR OK, предоставленная phanvantuan6.
Эта прога требует для общения с контроллером СОМ порт и адаптер RS232-PPI (в данном случае, PPI - это
тотже RS485, с подключением линий A(D+) к pin3, B(D-) к pin8 разъема MPI/PPI контроллера).
Я добавил краткую русскую инструкцию Readme.txt в архив проги и выложил пакет тут:
http://www.4shared.com/rar/Cs7mfDCC/Cra ... AR_OK.html
Проверка настроек СОМ порта, скорости, адреса, нажатие на среднюю правую кнопку в окошке проги ...
и вауля, пароль определен - 12529.
7) Подключился к контроллеру PC адаптером USB-MPI/PPI, запустил MicroWIN, нажал Upload,
на запрос контроллера ввел пароль 12529, и готово - прога из контроллера успешно перекочевала
в мой ноут! А дальше - вопрос желания ковырять прогу, менять - стирать пароль, модифицировать,
корректировать и т.п. по запросу заказчика.

Надеюсь этот опыт будет кому-то полезен и сохранит Ваше драгоценное время.
Время - вот вещь не имеющая цены, так как ее невозможно вернуть.

[WH_Mike]

Сегодня попробовал с помощью Crack_s7-200CN-UNLOCK_RAR_OK вскрыть пароль для скачивания у S7-200 CPU 224 v02.01
- увы, неуспешно. Прога пароль не выдает и, судя повсему, говорит, что работает только с версией 02.00.

Может кто знает аналогичную прогу для более новых прошивок CPU?

Today I tried with Crack_s7-200CN-UNLOCK_RAR_OK to get Upload password of S7-200 CPU 224 v02.01.
Suddenly unseccessfully.
It seems that this program is only for CPU v02.00, other firmware version CPU not supported.

May be someone knew identical programms for other firmware version CPU?

[Icerazor]

Столкнулся с аналогичной проблемой, надо определит пароль для скачивания 224 CN V02.01. Пробовал скачать дамп из EEPROM, по методу, описанному, здесь http://www.plc4good.org.ua/view_post.php?id=107,
однако вместо информации в дампе куча нулей. Может быть связано с тем, что сейчас стоит 4256BWP вместо AT24C64 (со старым контроллером где установлен AT24C64 все получается).
Попробовал выложенную недавно Crack_Siemens_S7-200_V__2013.html, однако непонятно как она запускается - в диспетчере задач приложение появляется под именем SiemensPassword, не по детски грузит процессор и пропадает через 20 сек. А вроде бы должно появиться вот это http://www.plcjiemi.com/2010vjiemi.htm
Кому нибудь удалось запустить вышеуказанную прогу??? Кому-нибудь удалось вскрыть s7-200 V02.01???

[WH_Mike]

Icerazor
Таже беда. Перепробовал все три указанные версии 2010, 2012, 2013.
2010 - запускается нормально, но думаю, что пароль для 02.01 не вскроет, так как по дате (14.02.2011) она более древняя,
чем в Crack_s7-200CN-UNLOCK_RAR_OK (21.07.2011). К сожалению в данный момент контроллера 02.01 под рукой нет.
2012 и 2013 - запускаются без открытия рабочего окна, и, через полминуты загрузки проца, молча вылетают.
К тому же на 2012 ругается моя Avira - типа в ней троян: "TR/Obfuscate.EH.5026". Может и лажа, но на другие версии не ругается.

phanvantuan6
Crack_Siemens_S7-200_V__2013 after start does not show any work window. In Task Manager this program stay about a half minute,
hard loading processor and then silently disappear (closing).
Do you have this problem or did you solve it?

Unlock_Password_S7_-_200_Project - not clearly understanding: click on the only single button lead to open project.
I choose the project that, I know, have password level 3, but nothing is happend - text field still stay empty. No any password.
How correctly using this programm?

Tahks and Best Regards!

[zerkmax]

панель управления\язык и региональные стандарты\вкладка дополнительно\язык для Юникода поставить китайский.
после этого все запускается

[WH_Mike]

zerkmax, СПАСИБО за подсказку!
Действительно, включил в разделе "Язык для программ не поддерживающих Юникод" язык "Китайский(КНР)", перегрузился и прога заработала!

Однако, чтобы этот Китайский язык появился в списке доступных языков, надо на вкладке Языки поставить галочку "Установить поддержку языков с письмом иероглифами" и установить восточные языки. А для этого надо либо иметь полную версию установочных дисков винды, либо скачать архив с нужными файлами отсюда:
http://curiositychillsthecat.wordpress. ... haracters/
или сразу отсюда:
http://www.mediafire.com/?g0x8zaaj3t72b6e.
По одному нужному винде файлу искать и качать не рекомендую, так как их в списке ну ООООчень много.

Как в ближайшее время доберусь до S7-200 v02.01 попробую вскрыть пароль и отпишусь про работу программ.

[zerkmax]

unlock2013 не нашел контроллер.
шнур RS232/PPI Multi Master
Step MicroWin подсоединяется к контроллеру только на скорости 187,5 кбит/сек на других скоростях не может.
контроллер 226 версия 2.01

[WH_Mike]

Наконец добрался до контроллера, но вскрыть пароль все же не удалось.
Скриншоты программы 2013:
- исходный вид окна при старте (с подписью назначения кнопок),
- после обнаружения контроллера,
- после определения типа контроллера,
- после попытки определения пароля.
После перевода гуглом с китайского на русский (с небольшой авторской правкой):
"Невозможно найти пароль, 02,00 или позже - нужно разбирать расшифровку.
Для детального понимания пожалуйста, нажмите на следующую кнопку
"Проблемы и помощь" "

Так что эта прога вскрыть пароль для v02.01 не может. Остается надежда только на скачивание дампа EEPROM и расшифровку пароля оттуда как описывалось выше.

[MultidoS]

Здравствуйте удалось ли сломать пароль от simatic s7-200 224xp REL 02.01?
возможен ли подбор пароля simatic s7-200 224xp REL 02.01 из hex снятого с EEPROM или еще никто не пробовал это делать с 02.01? Заранее спасибо...

Добрался таки до simatic s7-200 224xp REL 02.01 вскрыл... скачал данные EEPROM (4256BWP) вес bin файла 32kB есть здесь здравомыслящие люди которые могли бы помочь вытянуть оттуда пароль? Unloc выдает белиберду СА5ЗцСсО...
В Search Password S7 писалось что могут использоваться только строчные символы (

вопрос снят.... пароль взломан

[WH_Mike]

MultidoS
Если не секрет, чем считывали EEPROM и вскрывали пароль?, а также - выпаивали микруху с платы или подключались к ней прямо на плате контроллера?

[MultidoS]

подключался прямо на плате предварительно аккуратно подняв 2 ноги EEPROM с платы, а именно CLK и DATA... Иначе считаются одни нули... успехов

[ovenrog]

Direct Read EEPROM 4256BWP
and check password CPU-224cn rel: 02.01

Сегодня удалось подключиться к EEPROM 4256BWP ,найти пароль и скачать проект из CPU-224cn rel: 02.01

[ytangsuan]

From my experience, S7-200
1. Firmware 2.01 & Password Level 4 = 0%
2. Firmware 2.01 & Password Level 3 = less than 50%
3. Firmware 2.00 & Password Level 3 = 100%
Firmware 2.01 is always made in China and its model ends with CN ie. CPU224CN

[hmohamed]

can you share the tool links that you use?

[asimvirk]

when i upload pro gramme S7-200 226 cpu
message is (uploading is prohibited any solution????????????

[maher]

Direct Read EEPROM 4256BWP
and check password CPU-224cn rel: 02.01

Сегодня удалось подключиться к EEPROM 4256BWP ,найти пароль и скачать проект из CPU-224cn rel: 02.01

how can i find ( scl and sda ) for this chip??????

please help because i searched about the data sheet but i didnt find it

[ihosvany]

I have a CPU 224 XP protected by password level 3. I was working in a force brute method program to unlock the CPU. I have a doubts in the PLC Tx frame. When the Microwin send to the PLC the frame with password:

Tx - 68 21 21 68 02 00 7c 32 07 00 00 00 42 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 6c 6c 00 00 6c 6c 00 00 3b 16
Tx - 68 21 21 68 02 00 5c 32 07 00 00 00 7b 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 6c 6c 00 00 6c 6c 00 00 54 16
Tx - 68 21 21 68 02 00 5c 32 07 00 00 00 7c 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 6c 6c 00 00 6c 6c 00 00 55 16
Tx - 68 21 21 68 02 00 5c 32 07 00 00 00 7d 00 08 00 0c 00 01 12 04 11 45 01 00 ff 09 00 08 64 6c 08 00 64 6c 08 00 56 16

How is calculated the characters in red color?

Best regards...

[mitiay]

Всем привет! С наступающим НОВЫМ ГОДОМ!!!
Пытался считать программу из S7-200 CN. MicroWin определил процессор CPU 224 CN REL 02.01.
при Upload - запрос пароля! Ладно, произвёл трепанацию и считал дамп из 4256BWP.
С помощью Unlock_and_converter_MMC_Image_S7 вытащил пароль. Ура!!!
Но рано обрадовался.
При Upload программного блока выводится ошибка "Block version is a newer version and cannot be uploaded"
Блок данных считывается без проблем.
У меня MicroWin(STEP 7- Micro/WIN V4.0 SP8) старый или какая-то другая причина?

[tuangp]

Всем привет! С наступающим НОВЫМ ГОДОМ!!!
Пытался считать программу из S7-200 CN. MicroWin определил процессор CPU 224 CN REL 02.01.
при Upload - запрос пароля! Ладно, произвёл трепанацию и считал дамп из 4256BWP.
С помощью Unlock_and_converter_MMC_Image_S7 вытащил пароль. Ура!!!
Но рано обрадовался.
При Upload программного блока выводится ошибка "Block version is a newer version and cannot be uploaded"
Блок данных считывается без проблем.
У меня MicroWin(STEP 7- Micro/WIN V4.0 SP8) старый или какая-то другая причина?

FYI from http://www.plctalk.net/qanda/showthread.php?t=31705

if you want to download a program from a Siemens s7- 200 CN PLC.
You must have Microwin4.0 + SP5, Windows chinese language support loaded and choosed as input language.

And in Microwin tools > options > general select chinese.
And then every written word will be question mark but you will be able to upload and download program.

[serik]

Хотелось бы рабочую ссылку, где её можно скачать. А где про неё прочитать можно я и сам могу найти.

[zaplatin]

Хотелось бы рабочую ссылку, где её можно скачать. А где про неё прочитать можно я и сам могу найти.

я скачал с депозита
viewtopic.php?f=31&t=7029&view=print




программа для нахождения пароля с дампа флешки s7'200реально работает:
http://plc4good.org.ua/view_post.php?id=107
файл дампа был bin этой программой его открыл конвертировал в wld потом подсунул wld файл и пароль нашелся.

Имя файла должно быть английскими буквами или цифрами!

[Habr]

s7-200 smart sr60
eprom - 25p10vp

дамп снял расшифровать не могу, подскажите что можно предпринять?
Если нажимаю получить пароль то выдает такой пароль: O:"{аKы
Если нажимаю преобразовать в wld то получаю размер файла = 0

[CoMod]

s7-200 smart sr60

smart это китайский вариант s7-200 и возможно там иероглифы используются для пароля и вааще там всё по другому...
Выкладывай дамп - может автор программы найдёт время на анализ.

[Habr]

dump from eprom S7-200 Smart - need help for decode
Вот дамп который удалось достать: https://mega.nz/#!lrgwgJLK!axx0bHPZRMvi ... 3dnPoz2tKY






Огромная просьба помочь!

[vlad2006gr]

Огромная просьба помочь!

Дай фотографии платы в деталях. Особенно вокруг процессора. Кажется ты не то читал.

[Habr]

ссылку поправил https://mega.nz/#F!V64xVRya!4L3YYVw64rMATcSMIlsPqA

[Habr]

Ура форум починили! Теперь открываются картинки?

[coolmaxuz]

Всем Привет!!!!
У меня тоже такая проблема PLC S7-200 SMART CPU SR40 FW 2.1 стоить пароль
я смотрел в плате также как у Habr микросхема 25p10vp
Пожалуйста помогите найти пароль

[individual56]

Всем привет.
Столкнулся с такой же проблемой Siemens Simatic S7-200 Smart CPU SR60 нужно каким нибудь способом узнать пароль производитель не говорит.
Помогите очень срочно надо

[vlad2006gr]

Столкнулся с такой же проблемой Siemens Simatic S7-200 Smart CPU SR60

Для решения, нужна программа без пароля, ее образ из 25p10 и эта же программа с известным паролем и ее образ.

[CoMod]

Столкнулся с такой же проблемой Siemens Simatic S7-200 Smart CPU SR60

Для решения, нужна программа без пароля, ее образ из 25p10 и эта же программа с известным паролем и ее образ.

Сформулирую иначе - у vlad2006gr не было S7-200 Smart для экспериментов

[hungbka]

I hear about Unlock S7 200smart from this guy
http://www.plcjiemi.com/SMART.htm
Is there any body check?

[vek8]

S7-222 ver2.01, I had to solder the chip for reading the dump,
readed a dump as the simplest Chinese programmer CH341.
Further, according to the instructions ...
Everything Ok

S7-222 ver2.01, для снятия дампа пришлось выпаивать микросхему,
считал дамп простейшим китайским программатором CH341.
Далее по инструкции...
Все получилось.