如題，現在大家都知道豐煒的PLC難解密，于是豐煒的PLC在我目前這個行業很流行，隨處可見。那么豐煒的PLC到底能不能解呢？論壇里的郝大俠很久前就發過一個帖子，為我等拉開了破解豐煒PLC的序幕！無奈，再也沒有回音了，還是自己動手，自力更生吧！
進入正題：
        豐煒PLC密碼傳遞方式是：在電腦上鍵入密碼，傳回PLC主機，在PLC內部完成比對，然后將結果回饋到電腦。整個過程不限制次數！可以無限次的猜測密碼，這也是軟件破解的理論根據。，這是最原始的破解方法，由于不限制次數，理論上可以得到正確的密碼！

密碼比對正確的回應是：06 30 30 B8 30 30 30 03 B2 42
密碼比對錯誤的回應是：06 30 30 B8 30 B2 33 03 33 30


自己定義一個函數，功能是：如果1的個數為奇數個，則返回1，如果1的個數為偶數個，則返回0。這個函數在豐煒的解密當中，相當有用。為什么這樣說呢？郝大俠早說過這個規律：

30 A0 A0 A0 A0 A0 A0 A0 03 44 42 /0

B1 A0 A0 A0 A0 A0 A0 A0 03 44 C3 /1

B2 A0 A0 A0 A0 A0 A0 A0 03 44 44 /2
                
33 A0 A0 A0 A0 A0 A0 A0 03 44 C5 /3

B4 A0 A0 A0 A0 A0 A0 A0 03 44 C6 /4

35 A0 A0 A0 A0 A0 A0 A0 03 C5 30 /5

36 A0 A0 A0 A0 A0 A0 A0 03 C5 B1 /6

B7 A0 A0 A0 A0 A0 A0 A0 03 C5 B2 /7

B8 A0 A0 A0 A0 A0 A0 A0 03 C5 33 /8

39 A0 A0 A0 A0 A0 A0 A0 03 C5 B4 /9

30 33 35 36 39 B1 B2 B4 03 36 39 /03569124

30 33 35 36 B1 B2 B4 B7 03 36 B7 /03561247

B1 B2 B4 B7 B8 A0 A0 A0 03 33 B1 /12478

30 33 35 36 39 A0 A0 A0 03 33 B2 /03569

63 65 66 69 6A 6C 6F 71 03 B1 B8 /cefijloq

72 74 77 78 A0 A0 A0 A0 03 B2 30 /rtwx

E1 E2 E4 E7 E8 EB ED EE 03 30 B7 /abdghkmn

F0 F3 F5 F6 F9 FA A0 A0 03 C3 C3 /psuvyz

任取一位密碼的ASCII碼 根據上面函數校驗結果是奇數，就加80H；是偶數則不加80H,但是加80H的規律僅適用于猜測的密碼。
下面就剩下一個難題：校驗碼的規則！
如果 有了校驗碼的規則，那完全能自己編寫一個自動填密碼的程序，一刻不停的向豐煒PLC發動沖擊！直到它發來一個正確的回應：06 30 30 B8 30 30 30 03 B2 42

沒有用過，不感興趣

樓主很強大啊，像我們這種水平有限的人，恐怕做不到啊

祝愿樓主早日成功

的確，解密就像摸著石頭過河，此路不通，你可以繞著走嘛！走之前，給這條路插上一個路牌，走不通是今天的事，也許睡一覺就迷竇頓開！要的就是不驕不躁，不離不棄
進入正題：
    昨天提供的一條思路是：從正面猜測密碼校驗規則，該語句82 30 30 B8 30 E1 A0 A0 A0 A0 A0 A0 A0 03 30 C3  /pass(a) 比對的密碼是小寫a，從第五字節開始向后鋪開：
E1 A0 A0 A0 A0 A0 A0 A0，豐煒默認有八位密碼，你沒填上的那些空缺豐煒會自動給你補上 A0 ,這里只輸入了一個小寫a，于是豐煒補了7個 A0 : E1 A0 A0 A0 A0 A0 A0 A0。這里再重復一下，密碼字符的處理規則：對每一個密碼字符，參照它的ASCII碼，如小寫a，ASCII碼是61（Hex）,把61H化成二進制，對1的個數進行奇偶校驗，是奇數個加80H，是偶數個原封不動，如大寫字母 A 100,0001  B100,0010 D100,0100,G100,0111。這條規則早就是郝大俠給提出的，經過我反復比對，實踐證明準確可靠。26個小寫字母，26個大寫字母，10個阿拉伯數字經過奇偶性校驗后分為兩類，原ASCII碼再加80H的有：小寫abdghkmnpsuvyz,大寫CEFIJLOQRTWX，數字12478，其他的保持ASCII碼原封不動。
   這一條規則，貫穿著整個解密過程，各種思路都用到這條規則！感謝郝大俠
  

今天剛上班，今天開始另一條思路：深挖指令地址規則！

82 30 30 B8 30 E1 A0 A0 A0 A0 A0 A0 A0 03 30 C3  /pass(a) 比對的密碼是小寫a

這一條指令給PLC的動作是：我給你密碼，你拿著！你回家比比看看對是不對，回來告訴我一聲！

82 30 30 B8 B1 B1 B2 33 B4 35 36 B7 B8 03 B7 30 / pass set  這條指令給PLC：喂！我給你密碼，你拿著！回家掛在門上，咱家終于有鎖了！---那么PLC回家之后把鎖掛在哪兒呢？
                             /12345678
06 30 30 B8 B1 30 30 03 B2 C3 /receive done! PLC給我回答一句：老公，我回家把鎖掛上了，你放心吧！---草，沒告訴我掛哪兒了

06 30 30 38 30 30 30 03 32 42 >right! PLC給回答一句：老公，你終于答對了，進來吧！

繼續摸著石頭過河！
現在假定：PLC內部寄存器D10的內容我設為12345，十六進制是3039H。然后讓PLC給我監控這個寄存器D10,我呢再去監控PLC是怎么監控的！

82 30 30 35 30 B1 C3 B1 B4 30 B2 03 30 33 /D10:12345,1C1402 讀取寄存器D10的內容

06 30 30 35 30 30 30 33 30 33 39 03 C6 B7 /003039

指令：82 30 30 35 30 B1 C3 B1 B4 30 B2 03 30 33 / D10 @ 1C1402  讀取寄存器D10的地址在1C1402

回應：06 30 30 35 30 30 30 41 41 42 42 03 B2 C5 /D10=00AABB 寄存器D10的內容是AABB
以下格式雷同：
82 30 30 35 30 B1 C3 B1 36 30 B2 03 30 35 / D11 @ 1C1602

06 30 30 35 30 30 30 41 41 42 42 03 B2 C5 /D11=00AABB

82 30 30 35 30 B1 C3 B1 36 30 B2 03 30 35 / D11 @ 1C1602

06 30 30 35 30 30 30 36 39 B8 B7 03 30 36 /D11=6987

82 30 30 35 30 B1 C3 B1 B8 30 B2 03 30 B7 /D12 @ 1C1802

06 30 30 35 30 30 30 B4 35 36 33 03 C6 41 /D12=004563

82 30 30 35 30 B1 C3 30 30 30 B2 03 C6 C5 /D0 @ 1C0002

06 30 30 35 30 30 30 B4 35 36 33 03 C6 41 /D0=4563

82 30 30 35 30 B1 C3 30 B2 30 B2 03 30 30 /D1 @ 1C0202

06 30 30 35 30 30 30 B1 B2 33 36 03 C6 B4 /D1=1236

恩，樓主加油，讓我看看過程

有用嗎?

樓主破解出來了，就開發出一個軟件，讓我等也受益下哈

高手啊。。。

高手啊。。。。。。