西门子模块6ES7321-1BH50-0AA0安装调试

西门子模块6ES7321-1BH50-0AA0安装调试

国产PLC如何才能**重围

由于国内PLC市场大部分由外国的产品所**，大、中型PLC产品中，几乎全部由国外几大公司，所以国内PLC厂家一定要有自己*的产品，只有这样才能在市场竞争中立于不败之地。

在国际上plc迅速发展的形势下，我国多数PLC厂家还没有拥有自主知识产权，能够参与国际竞争的PLC产品，其中之一就是研发实力不够。虽然资金投入、生产和质量管理等因素也占有非常大的比重，但对产品的质量起着决定性作用的是研发投入、研发成果产品化以及生产工艺等。而技术则是贯穿着其中每一个环节，PLC核心技术的开发、产品的后续开发、生产工艺的技术水平是决定产品质量的前提，如何在技术上进一步增强自己的实力，将是国产品牌取得市场竞争优势的关键。

其次是竞争，由于国内PLC市场大部分由外国的产品所**，大、中型PLC产品中，几乎全部由国外几大公司，随着我国使用PLC市场的不断扩大，国外几大公司几乎每年都会针对市场推出新的产品，一旦用户使用了新的产品后，他们就会逐渐的提高产品市场价格，如果我国没有自己的自主知识产权的产品，在经济竞争中就只能处于被动的地位。所以国内PLC厂家一定要有自己*的产品，只有这样才能在市场竞争中立于不败之地。

最后是市场销售，国内PLC的产品宣传、市场开拓，以及建立完善的售后服务体系方面应继续加大力度。国内PLC厂家如奥越信，凯迪恩等厂商在这方面工作做了大量的工作，也取得了很好的效果。

下面是针对国产plc的现状所提出的发展对策。

(1)对如此巨大的市场，我国应该集中资金和技术力量，尽快研制生产出具有自主知识产权的PLC系列产品，PLC技术正在由封闭走向开放，大量采用it技术，硬件通用化、软件标准化，使得PLC的设计和生产不再存在技术壁垒。加之近年来芯片技术的迅速发展，推出具有国际竞争力的PLC产品已成为可能。国内PLC厂家应联合起来组成集团公司，成立专门的研发机构，共同开发各种机电产品，如：变频器、伺服系统、人机界面等，大力提高产品可靠性、兼容性，建立完善的销售网络务体系，敢于在国际舞台上与跨国企业进行竞争，只有这样国产PLC产品才能在中国的自动化产业市场立足。

(2)继续发挥国内PLC应用技术的优势，扩大应用领域。将PLC应用在国民经济的各个领域同时，还要凭借技术和劳动力优势，逐渐融入国际PLC的应用市场，积极参与国际竞争，使我国应用技术优势形成真正的增值服务，带动相关成套设备和软件产业的发展。

(3)在扩大PLC应用范围的同时，在软件集成上下功夫。针对不同的工业生产过程，形成具有自身特色的系统集成软件、人机界面软件和应用软件。

(4)在发展小型PLC产品方面，必须在集成性、功能性、适用性、经济性等方面选择一个合适的平衡点，设计出满足用户不同要求的产品。小型PLC产品仍将是市场主流，小型PLC是较有可能首先实现国产化的，根据当前发展的特点，小型PLC国产化大势所趋。立足于国内市场，国内PLC厂商可以根据用户的特殊需求快速地为用户专门定制个性化产品。而跨国公司的中国用户很难将这种特殊需求迅速反馈到国外的PLC生产厂家促成产品的迅速改进。

(5)加大宣传力度，取得国民信任。国产PLC的发展离不开用户的支持，国内PLC厂商应该利用各种媒体宣传PLC产品，开展相关的PLC技术研讨会，产品展示会等，加强与用户的沟通，用户的偏见，并且根据用户的反馈意见，对产品的性能进行不断地完善。同时国内PLC厂商应注意加强与高校的合作，免费提供相关的技术培训，进行国产PLC技术普及。

(6)**应该加大扶持力度，对国产PLC的发展给予引导，从政策、资金、技术、税收等方面予以，**要对我国现有的几十家国产PLC厂商进行整合，组建中国自动化集团公司，选出几个有代表性的优秀国产PLC品牌进行大力发展，充分利用现有资源进行技术开发，积极参与国际化竞争，只有这样，才能摆脱目前国产PLC市场尴尬局面。

采取上述策略后，我国一定能够在PLC的应用上实现突破，融入**一体化经济之中，形成具有自主知识产权的软件产业，进而研制、开发、生产出具有自主知识产权，能够参与国际竞争的PLC产品。同时国内PLC厂商也要正视与国际大公司的差距，虚心向国际大公司学习先进技术和营销理念，努力缩小差距，迎头赶上国际水平。我们坚信，通过我们不断努力，国产PLC一定会有辉煌的明天。

PLC密码忘了怎么办 这些方法或许对你有用

现在市场上主流的PLC，都带有加密功能，作用就是给你的PLC加上密码，没有密码就不能上载程序，以此来保护你的知识产权，防止别人盗用、篡改你的程序。

另外，还有的PLC编程软件可以对子程序、程序库等进行加密（例如西门子的S7-200系列），这样别人可以使用你编写好的库或子程序而无法看到内容。这样可以保护你的关键算法或流程。

有矛就有盾。看过电视剧《暗算》吗？有加密就有解密。

因此，PLC破解，一种就是指对PLC进行解密，读出里面的程序；一种是指对电脑里面的工程文件、子程序库等进行，使其可以显示，可以修改等。

为啥要破解呢？归纳下来，下面几种情况比较多：

1、 自己的密码忘了

2、 学习别人的程序，增加自己的编程水平

3、 设备需要维护，原来的工程师走了

4、 因为种种原因，PLC里面有软件陷阱

5、 设备厂家的PLC加了密，过了保修期厂家又不负责

6、 了解设备的工作原理，了解工艺，设备

7、 “拿来主义”，直接复制别人的产品

……

对于第1种情况，没啥说的。

对于第2种情况，是讨论比较多的。

对于第7种情况，肯定是在道德上要进行谴责的。

对于其他情况，可能需要具体问题具体分析。

一些从事自动化方面工作的技术人员想进行PLC破解，通过学习别人程序的编程方法。这种做法的意义有多大呢？看懂别人的程序，可能比自己编制一个新的程序更累，尤其是程序比较大，而且没什么注释的时候（通过破解PLC读出得来的程序，多半没有注释，没有变量名称）。

下面是一个网友写的关于PLC破解的文章，挺有道理的，引用如下：

“我曾经设计一个龙门刨床的项目，采用三菱F140MR PLC，编写了一个程序，一名维护的技术人员不是很好的了解龙门刨床的设备工艺，而是痴迷于了解我的程序，我告诉他，你应该好好的了解设备的状况和工艺，熟悉电气图纸，发现设备的运行状况中哪些方面还没有满足工艺的要求（也就是程序的不足），自己编写一个，无从下手时看看资料或者问问我，我保证他三、四个月彻底了解PLC，贵在实践。到那时，废掉我的程序。

而他却热衷于了解我的程序的每一步，问来问去已达四年多，至今未能掌握，面对设备、面对PLC仍然茫然无从下手，四年意味着一个大学毕业，意味着一个研究生，甚至一个博士。而他连一个小小的PLC都没毕业。而F系列PLC早已淘汰的快无影无踪了。如果仅从了解别人的程序而热衷于PLC破解，这个实例，已经告诉你，你已走进误区，成为一些商家和一些网站的靶子。

何谓PLC程序，不过是你设计工程项目的工艺而已，有工艺要求才可能有程序，程序只是设备工艺的具体反应，了解了工艺要求也就等于了解了程序。编程不过是个规则，要你用这个规则把设备工艺写出来，因此你重要是了解设备的工艺和具体使用PLC品牌的功能。当你充分了解了设备工艺，设计完电气图纸，你的设计任务可以说基本完成了，剩下的就是看看PLC编程规则，把程序写出来，把工艺写出来。

记住！贵在实践！我在上学时，PLC功课是满分，对梯形图、语句非常了解，也在课本上看过很多程序，可我当**次面对设计时，却不知道如何下手，当把我的程序（问题很多）输进去并执行时，也就短短的一两天，我的感觉是PLC不过如此，海阔天空的感觉，没有不会的，只有不做的。

我的一个朋友告诉我，他在工厂里，一些设备被一些早进厂的人把持着，PLC加了密，也不让看程序（程序也不是他们编的），以此压着他们，想让他们水平超不过他们，我告诉他，他们不过是个永远长不大的丑陋（现在国有企业比比皆是），莫做他们的继承者，也不要学他们的德性，这种人是较脆弱、是较没水平的，好好了解一下工艺，了解一下设备的运行状况。自己编一编，不懂问问学学，这才是他们较怕的。”

说那么多，只是想告诉大家，破解有其存在的合理性，但不要痴迷于此，更不要用这个来做违法、违背道德的事。

我所知道和掌握的S7-200系列PLC的破解方法主要有“软的”和“硬的”两种方法。

先说说“来软的”：西门子的S7-200系列PLC留有“后门”，可以直接通过串口电缆（PC/PPI）来读出其中的PLC密码和POU密码（子程序和库密码），方法和读取PLC的内部寄存器基本类似。读出来的密码是经过位逻辑处理的，经过运算可以得到密码。

再说说“来硬的”：S7-200系列PLC的内部电路板上有一个EEPROM芯片，里面保存有PLC的密码。可以通过I2C接口（一种电路接口）读出EEPROM内容，分析得出密码。

据说较新版本的S7-200系列PLC硬件电路有些不同，软件也有动，可能困难一些。

另外，国内有几家“版”的S7-200系列PLC，据厂家宣传说和西门子的是完全兼容的。但大部分厂家只有扩展模块，没有CPU单元。有CPU单元的目前据我所知有两家。一家在上海，叫正航，一家在深圳，叫。两种产品我都用过，也都尝试过破解。

的“来软的”、“来硬的”都“招了”。正航的“来软的”算出来是乱码，刚开始以为是计算方法不同，后来折腾了很久，较终我发现不管什么密码和PLC给出的乱码是没有任何关联的。软的不行就来硬的。拆机后找到EEPROM芯片，读出BIN文件分析，和“来软的”一样，算出来仍然是乱码。看来正航的加密和西门子还是不同。

一个基于PLC的新型病毒：背景与病毒结构

PLC是工业领域中很常用的一种控制器。现在常用的PLC都配备有以太网接口，并采用了IP协议。我们基于西门子S7-1200设计了一个蠕虫病毒，这种蠕虫病毒不需要借助PC机，仅仅基于PLC设备就能实现扩散，攻击目标并将自身进行复制。该蠕虫病毒代码在目标机复制后不会发生变化，从而可以重复进行目标扫描，进一步扩散。我们分析了该蠕虫病毒的影响和措施。

1.概述

IT是现代工业控制系统的重要组成部分，因为如果没有IT系统，生产过程将无法进行。不幸的事，由于引入了IT系统，工控系统的使用者也面临着传统IT系统的信息安全威胁。IT系统的可以从几个不同的角度威胁工控系统。他们可以引起生产中断，造成巨额经济损失，以及损坏周围人员的健康安全。震网病毒的案例充分说明了这一点。伊朗铀浓缩工作受西门子PLC被篡改的影响，被迫暂停。蠕虫病毒利用bbbbbbs的漏洞，在铀浓缩工厂的PC之间传播。PLC的软件被篡，使得离心机被毁。该蠕虫病毒需要借助PC机进行传播，并基于PC机攻击PLC设备。本文演示了一种基于PLC设备进行传播的蠕虫病毒，而不需要PC机。这种病毒可能被在役的PLC传播到工控系统中，并在PLC之间传播和复制。该蠕虫病毒进入目标后，复制自身代码并修改目标PLC中已经下载完毕的用户代码，使病毒。本文基于西门子S7-1200 v3进行实验，用结构文本编辑病毒代码。

2.相关工作

2015年，Klick等人利用PLC的通信机制实现了一个代理，进而展示了一种病毒。本文利用这一通信机制，基于新型号的S7-1200 V3实现了蠕虫病毒在PLC之间的传播。

3.PLC结构

图1 Zyklus eines PLCs

PLC的过程映像区保存有所有输入和输出的状态，用户程序在过程映像区中运行，不直接操作PLC的物理输入和输出接口。用户程序按照循环周期运行，在每个循环周期的开始和结束时间CPU会刷新过程映像区，循环的较长时间限制被称作循环周期。如果超出了循环周期，PLC会停止运行并报异常。

程序组织单元（Program Organization Units，POU），西门子S7-1200支持如下POU：

组织块（Organization block，OB），进入用户程序的主要入口

数据块（Data block，DB），全局存储

函数（Function），函数

函数块（Function Block，FB），具有持续本地存储的函数

除了用户定义POU函数，西门子还提供了几种函数。包括TCON、SCON，利用这些函数PLC可以初始化和终止与任意系统之间的TCP连接。基于TRCV和TSEND函数缓冲区可以发送和接收函数。

4.计算机蠕虫病毒

蠕虫病毒攻击包括以下三个阶段：可能目标检测，向目标扩散，在目标上并执行代码。

5.S7 1200的蠕虫病毒实现

5.1结构

在S7 1200PLC上实现蠕虫病毒首先要满足PLC关于较大执行的循环时间限制，所以蠕虫病毒必须每隔几毫秒就暂停一次，然后在下一次循环周期开始时重新启动。为了满足这一要求，本文使用状态机设计蠕虫病毒，将病毒的当前状态保存在一个全局变量中，每隔循环周期的开始阶段会调用病毒的特定代码，确保病毒的运行不会超出PLC的循环时间限制。

图2显示了病毒的执行流程。蠕虫病毒首先与潜在目标建立一个连接，建立连接后蠕虫病毒先检测目标是否已被感染，如果没有被感染则停止目标上的用户程序，并复制自己并向目标传送自己的代码，然后重新启动PLC。然后继续检测潜在目标PLC，循环执行上述周期。

图2 蠕虫病毒的传播过程

5.2目标检测

蠕虫通过TCP的102端口检测潜在目标，该端口只能被外部的防火墙关闭，而且没有其他服务会使用该端口。

S7-1200使用POU的TCON函数管理TCP连接。源代码如列表3所示，其中第3行显示了POU的使用，第9行传递了一个任意的IP地址和端口。只要POU被调用，PLC就会尝试建立连接。这一过程是异步执行的。在稍后的循环周期中会验证连接状态。返回值DONE表返回连接是否建立。如果返回值为true，则继续传播。如果IP和端口的连接无法建立，则不会引起错误。通过在循环周期内增加一个不断增加的计数器，以实现定时功能。

图3 利用SCL检测目标

如果经过200个周期没有建立连接，则蠕虫会执行图4中的程序。如果没有建立连接，则必须调用POU的SCON释放资源以便建立下一个连接，如在第13行中所示，IP地址增加。从而实现对所有的子网进行扫描以寻找开放的204端口