西门子s7-200教程:带你全面认识西门子s7-200 西门子S7-200系列PLC之反拆机加密

　　1、S7-200的基本结构
　　西门子S7-200系列属于整体式小型plc，用于代替继电器的简单控制场合，也可以用于复杂的自动化控制系统。
　　整体式PLC将CPU模块、I/O模块和电源装在一个箱型机壳内，S7-200称为CPU模块。图1中的前盖下面有RUN/STOP开关、模拟量电位器和扩展I/O连接器。S7-200系列PLC提供多种具有不同I/O点数的CPU模块和数字量、模拟量I.O扩展模块供用户选用，CPU模块和扩展模块用扁平电缆连接。
　　整体PLC还配备有许多专用的特殊功能模块，例如模拟量输入/输出模块、热电偶、热电阻模块、通信模块等，使PLC得功能得到扩展。

                               
登录/注册后可看大图

　　S7-200可以选用梯形图、语句表(即指令表)和功能模块语言来编程。它的指令丰富，指令功能强，易于掌握，操作方便。内置有高速计数器、高速输出、PID控制器、RS485通信/编程接口、PPI通信协议、MPI通信协议和自由方式通信功能。最多可以扩展到248点数字量I/O或35路模拟量I/O。最多有26kB程序和数据存储空间。
　　2、S7-200的CPU模块
　　S7-200有5种CPU模块，CPU221无扩展功能，适于做小点数的微型控制器;CPU222有扩展功能;CPU224是具有较强控制功能的控制器;CPU226和CPU226 XM适用于复杂的中小型控制系统。
　　S7-200系列PLC不同型号CPU的技术参数如表1所示

                               
登录/注册后可看大图

　　S7-200有传送、比较、移位、循环、求补码、调用子程序、脉冲宽度调制、脉冲序列输出、跳转、数据转换、算数运算、字逻辑运算、浮点运算、开平方、三角函数和PID控制指令等，采用主程序、最多8级子程序和中断程序的程序结构，用户可以使用1-255ms的定时中断。用户程序可设3级口令保护，有监控定时器(看门狗)功能。
　　数字量输入中有4个用作硬件中断，6个用于高速功能。32位高速加/减计数器的最高计数频率为30kHz，可以对增量式编码器的两个互差90的脉冲列计数，计数值等于设定值或计数方向改变时产生中断，在中断程序中可以及时地对输出进行操作。两点高速输出可以输出频率最高为20kHz频率和宽度可调的脉冲列。
　　可选的存储器卡可以永久保存程序、数据和组态信息，可选的电池卡保存数据的典型事件值为200天。DC输出型电路用场效应晶体管(MOSFET)作为功率放大器元件，仅DV输出型有高速脉冲输出，最高输出频率为20kHz。
　　3、S7-200的扩展模块
　　不同信号的S7-200 CPU上已经集成了一定数量的数字量I/O点，若实际需要的I/O点数超过该CPU的I/O点数时，则通过增加输入/输出扩展模块来达到扩展功能、扩大控制能力。扩展模块有输入/输出扩展、热电偶/热电阻输入扩展和通讯扩展三种类型，通过总线连接器(插件)和CPU模块连接。
　　扩展单元正常工作需要+5VDC工作电源，此电源由CPU通过总线连接器提供，扩展单元的24VDC输入点和输出点电源，可由基本单元的24VDC电源供电，但要注意基本单元所提供的最大电流能力。
　　CPU 221无I/O扩展能力;CPU 222最多可连接2个扩展模块(数字量或模拟量);CPU224和CPU226最多可连接7个扩展模块。
　　(1)输入/输出扩展模块
　　S7-200系列PLC目前提供如下扩展模块：
　　①数字量输入扩展模块 EM221(8DI);
　　②数字量输出扩展模块 EM222(8DO);
　　③数字量输入和输出混合扩展模块 EM223(8I/O，16I/O，32I/O);
　　④模拟量输入扩展模块 EM231(3AI，A/D转换时间为25μs，12位);
　　⑤模拟量输入和输出混合扩展模板 EM235(3AI/1AO，其中A/D转换时间为25μs，D/A转换时间100μs，位数均为12位)
　　(2)热电偶/热电阻扩展模块
　　热电偶、热电阻模块(EM231)与CPU222，CPU224，CPU226配套使用，多种分度号热电偶(mV信号)和热电阻(电阻信号)可通过EM231模块将信号送入S7-200。用户通过EM231上的DIP开关来选择热电偶或热电阻的分度号、接线方式、测量单位和开路故障的方向。
　　(3)通讯扩展模块
　　除了CPU集成通讯口外，S7-200还可以通过通讯扩展模块连接成更大的网络。S7-200系列目前有两种通讯扩展模块：PROFIBUS-DP扩展从站模块EM277和AS-i接口扩展模块CP243-2。
　　S7-200系列PLC输入/输出扩展模块的主要技术性能如表2所示。

                               
登录/注册后可看大图

4、S7-200的通信功能

　　S7-200的CPU模块自带的RS485串行通信支持PPI、DP/T、自由通信口协议和PROFIBUS点对点协议。每个网络最多126个站，最多32个主站。通信接口可以实现与下列设备的通信：运行编程软件的计算机、文本显示器TD200、OP(操作员面板)、以及S7-200 CPU之间的通信;通过自由通信口协议，可以与其他厂家的设备进行串行通信。
　　EM277 PROFIBUS-DP从站模块用于将S7-200 CPU连接到PROFIBUS-DP网络。通信速率为9600-12Mbit/s。
　　工业以太网通讯模块CP243-1的通信速率为10Mbit/s或100Mbit/s，半双工/全双工通信，RJ-45接口使用TCP/IP协议。可用STEP 7-Micro/WIN软件实现通过工业以太网配置和远程编程服务(上载、下载程序，监视状态)，通过工业以太网连接其他的CPU，通过S7-OPC在计算机上处理数据。
　　EM241 Modem(调制解调器)模块支持远程维护或远传诊断、PLC之间的通信、PLC与PC的通信、给手机发送短消息等，EM241参数化向导集成在Micro/WIN V3.2中。
　　通过CP243-2 AS-i通信处理器，S7-200 CPU可以作为AS-i的主站，最多可以连接62个AS-i从站，接入496个远程数字量输入/输出点。
　　5、S7-200的编程软件
　　STEP 7-Micro/WIN 32是专门为S7-200设计的在个人计算机Windows操作系统下运行的编程软件。CPU通过PC/PPI电缆或插在计算机中CP 55111或CP 5611通信卡与计算机通信。通过PC/PPI电缆，可以在Windows下实现多主站通信方式。
　　STEP 7-Micro/WIN 32的用户程序机构简单清晰，通过一个主程序调用子程序或中断程序，还可以通过数据块进行变量的初始化设置。用户可以用语句表(STL)、梯形图(LAD)和功能块图(FBD)编程，不同的编程语言编制的程序可以相互转换，可以用符号表来定义程序中使用的变量地址对应的符号，是程序便于设计和理解。
　　STEP 7-Micro/WIN 32为用户提供两套指令集，即SIMATIC指令集(S7-200方式)和国际标准指令集(IEC1131-1)方式。通过调制解调器可以实现远程编程，可以用单次扫描和强制输出等方式来调试程序和进行故障诊断。
　　S7-200是在美国德州仪器公式的小型PLC的基础上发展起来的，S7-300/400的前身是西门子公司的S5系列PLC，其编程软件为STEP 7。S7-200和S7-300/300虽然有许多共同之处，但是在指令系统、程序结构和编程软件定方面均有相当大的差异。
　　SIMATIC S7-200 SMART订货数据
　　①中央处理单元CPU订货号
　　CPU SR20模块 主要参数：AC/DC/RLY 12DI/8DO 订货号：6ES7 288-1SR20-0AA0
　　CPU SR40模块 主要参数：AC/DC/RLY 24DI/16DO 订货号：6ES7 288-1SR40-0AA0
　　CPU ST40模块 主要参数：DC/DC/DC 24DI/16DO 订货号：6ES7 288-1ST40-0AA0
　　CPU CR40模块 主要参数：AC/DC/RLY 24DI/16DO 订货号：6ES7 288-1CR40-0AA0
　　CPU SR60模块 主要参数：AC/DC/RLY 36DI/24DO 订货号：6ES7 288-1SR60-0AA0
　　CPU ST60模块 主要参数：DC/DC/DC 36DI/24DO 订货号：6ES7 288-1ST60-0AA0
　　②I/O扩展模块EM订货号
　　EM DI08数字量输入模块 主要参数：8×24VDC输入 订货号：6ES7 288-2DE08-0AA0
　　EM DR08数字量输出模块 主要参数：8×继电器输出 订货号：6ES7 288-2DR08-0AA0
　　EM DR16数字量输入/输出模块 主要参数：8×24VDC输入/8×继电器输出 订货号：6ES7 288-2DR16-0AA0
　　EM DR32数字量输入/输出模块 主要参数：16×24VDC输入/8×继电器输出 订货号：6ES7 288-2DR32-0AA0
　　EM DT08数字量输入/输出模块 主要参数：8×24VDC输出 订货号：6ES7 288-2DT08-0AA0
　　EM DT16数字量输入/输出模块 主要参数：8×24VDC输入/8×24VDC输出 订货号：6ES7 288-2DT16-0AA0
　　EM DT32数字量输入/输出模块 主要参数：16×24VDC输入/16×24VDC输出 订货号：6ES7 288-2DT32-0AA0
　　EM AI04模拟量输入模块 主要参数：4路输入 订货号：6ES7 288-3AE04-0AA0
　　EM AQ02模拟量输入模块 主要参数：2路输出 订货号：6ES7 288-3AQ02-0AA0
　　EM AM06模拟量输入/输出模块 主要参数：4路输入/2路输出 订货号：6ES7 288-3AM06-0AA0
　　EM AR02热电阻输入模块 主要参数：2路通道 订货号：6ES7 288-3AR02-0AA0
　　③通信扩展信号板SB订货号
　　SB CM01通信扩展信号板 主要参数：R485/R232 订货号：6ES7 288-5CM01-0AA0
　　SB DT04数字量扩展信号板 主要参数：2×24VDC输入/2×24VDC输出 订货号：6ES7 288-5DT04-0AA0
　　SB AQ01模拟量扩展信号板 主要参数：1×12位模拟量输出 订货号：6ES7 288-5AQ01-0AA0
　　浅谈西门子S7-200系列PLC之反拆机加密
　　1.先了解普遍的PLC解密方式。知己知彼才能百战不殆，你只有全面的了解了现行的PLC普遍解密方式，才能以此作出更好的加密方案。现在出售的都是拆机解密软件，还没有直读软件出世，都是通过拆取EEPROM芯片，修改其系统块而去除了密码保护得到程序的。这样的解密方法确实达到了读取程序的目的，但是这个药方副作用太大，完全改变了系统块的原始设置。由于不知道也无法知道原始系统块的设置，匆匆忙忙就用一个从其他PLC得到的系统块替换过来，完全改变了原有的设置，那么由此我们就可以根据他的这个缺陷而制造出有针对性的反拆机加密。现在您可以先下载例程看看了。
　　2.一定要设置4级密码保护。2.0以上版本的PLC都具备4级加密功能，这也是最高级别的加密，如果您单独设置3级加密那么很容易被破解。因为只需拆机读取了芯片就得到了原始密码，无需修改芯片，有了密码凭密码就可以上载程序了。所以您如果只是设置了3级加密保护那么等于是白给，必须设置最高级别4级保护。那么4级保护怎么厉害呢?看下图说明，4级密码保护是无法上载的，无论你是否知道密码，意思是你即使已经知道了密码你也无法上载。拆机解密为了能够达到上载的目的采用的是整个系统块替换的方法，替换后就是没有加密功能的系统块了，程序就可以上载了，但是他改变你原有的设置，所以接下来我再教你如何对付这种替换系统块解密。

                               
登录/注册后可看大图

　　3.通讯端口设置不能默认。你点击一下下图中的那个 默认值 按钮就可以知道，系统块的通讯设置默认值都是波特率9600站号2，为了能够达到破解后让敌人无法通讯的目的你最好设置187.5kbps的波特率，但是如果您的电缆不支持这个通讯速率那么还是算了吧!PLC的地址不要默认2，这样太弱智了，选择其他站号地址吧。这样搞，即使被破解也可以达到让别人无法通讯连接的目的，特别你有触摸屏或者上位机与之通讯就更好了，破解后由于跟你原先的通讯设置对不上， 外部的设备就无法通讯了，最后还得找您。好，真好!!

                               
登录/注册后可看大图

　　4.设置特种断电保持区，不要默认。看下图的断电数据保持区的设置，都是系统默认的数值，如果你懒得从这里做一下手脚，完全使用系统默认的设置，那么你的加密即使是4级也是枉然，因为他们就是采用的系统默认的系统块替换你的4级加密文件的。

                               
登录/注册后可看大图

　　那么到底如何从这个系统块是设置里改变默认设置来达到防破解的目的呢?这个方法就多了，千变万化，就看你的聪明才智了，下面我举例一个方法您看看，你可以依次类推，举一反三。

                               
登录/注册后可看大图

　　5.检测掉电保持区数据是否丢失。用编程的方法检测查找你预先埋入的数值是否还完好，运行后埋入的地雷是否爆炸了，检测你的程序是否遭到了拆机解密，废话少说看图：

                               
登录/注册后可看大图

　　当然这只是简单的加密，实际应用中不可能这么简单真好懂，你应当尽量做的复杂，以至于无法读懂程序，数据要多变换、传送、转移、计算等进行一系列复杂的逻辑运算，最后才用于停机。你在系统块的掉电保持区中可以设置vb0-vb40为掉电保持区，而vb40以后的要求掉电清空，你在程序中可以设置在plc上电的初始时期是否有数据，如果有数据 那么停机，如果没有开机，然后再检测掉电保持区的数据，你事先埋下数值地雷，检测你之前写入的数值如果没有了那么停机吧!
　　以下是相关提问：
　　1、西门子S7-200系列PLC的优点

                               
登录/注册后可看大图

　　SIMATIC S7-200发挥统一而经济的解决方案。整个系统的系列特点
　　强大的性能，
　　最优模块化和开放式通讯。
　　结构紧凑小巧-狭小空间处任何应用的理想选择
　　在所有CPU型号中的基本和高级功能，
　　大容量程序和数据存储器
　　杰出的实时响应-在任何时候均可对整个过程进行完全控制，从而提高了质量、效率和安全性
　　易于使用STEP 7-Micro/WIN工程软件-初学者和专家的理想选择
　　集成的 R-S 485接口或者作为系统总线使用
　　极其快速和精确的操作顺序和过程控制
　　通过时间中断完整控制对时间要求严格的流程

                               
登录/注册后可看大图

　　2、西门子PLC S7-200 224CN不拆机解密的方法

                               
登录/注册后可看大图

　　不用解密的，看看机器运行时PLC上I/O指示灯亮和暗跟设备运行的关系就应该能了解PLC里面程序了，你多看几遍就自己会遍了，比解密还好。还有人家灌程序进去也不会把符号表和注释灌进去的，就算被你读出来你可能还是看不懂，如果把自己看不懂的程序再灌到机器里面去，你的维护更难。
　　

谢谢楼主分享