西门子S7-200CN PLC破解的一些思路

    本人并不是什么高手，只是一直从事工业自动化方面的工作。在工作中经常接触到PLC通讯方面的课题。
    于是，对一些厂家的PLC通讯协议有一些了解。解密只是纯业余的爱好！
    正题，不管是什么公司的PLC，加密过后的密文肯定是会存放在X个寄存器内，这也是网上许多密码直读软件能够读取密码的原因。这是解密的第一种，也是较直接，能够实施的比较好的方法。关键的问题是一些PLC厂家的编程协议是不公开的，所以协议你都不知道，你就更不能知道密文的存放寄存器了。那么唯一可行的办法就是使用串口监测。打开编程软件进行密码输入与输出时进行拦截通讯帧，再对通讯帧对行对比分析，反复实验。我破解三菱，PROFACE屏，台达就是这么做的。
    第二种方法是穷举法，这是不太可能实现的法子。世界上最臭名昭著的WINRAR压缩软件，通过加密后，只要密码超过6位，并有字母和数字组合，那就不可能解密。
    再说200CN的破解，像三菱，OMRON等PLC的密文算法过于简单，进行二十次的对比实验，基本上就知道算法了。但是200CN，在密码入口和出口处都进行了加密，使得分析拦截到的通讯帧得出密码变得非常困难。我曾经进行到一半，就没干了。现在据说在国内只有那么几个人能解，一种是直接，一种是拆芯。
    当然还要一种办法，对于直接软件，只要各位能提供试用版本的，基本上我就能重新写他的解密软件了。因为现在的注册机破解也不是什么难事。微软的KEY都能解，想必那些靠解密软件加注册码的兄台技术也不会好到那去。