Siemens PPI协议分析

这篇文章是我做PPI协议分析时候读过的，写的挺便于理解的，也转载过来，供有需要的朋友阅读。其中加了一点点我理解的东西，并且证明是正确的！

原文地址：http://wenku.baidu.com/view/c57e5c37ee06eff9aef807bd.html?from=rec&pos=0&weight=136&lastweight=70&count=4

大家好：我是山东临沂的郝金红，PLC解密网是我的个人网站。由于前段时间的疯狂的研究西门子PPI协议解密之故，所以无心插柳的研究出了较实用的西门子S7-200PPI协议，今天奉献大家。我们经常要用于上位机、现场设备与S7-200CPU之间的通讯，但是西门子公司没有公布PPI协议的格式，用户如果想使用PPI协议监控，必须购买其监控产品或第三方厂家的组态软件。大家要知道国内的组态王、紫金桥、力控等等组态公司是花了多少钱才得到的PPI的深层协议吗？其实西门子工控产品的超高价垄断掠夺行为已经引起了我们国家及业内人士的抵制和抗议，他们的什么软件都需要授权且对于系统的霸道性是有目共睹的，而且我是深受其害的。^_^我最近弄了个WINCC，装了一个星期还没装上，网友告诉我要重做系统才可以，悲哀啊。。。。。。

这样给用户自主开发就带来了一定的困难，特别是想用VB、VC等语言自行开发，根本没办法接入PLC，要么你大把掏钱给他们。洋为中用，最近在国外网站得到一个串口监视软件，带协议分析的相当不错，你吧！我就是通过此软件的数据监视、分析方法，找出了PPI协议的关键报文格式所在。

其实西门子S7-200PLC之间或者PLC与PC之间通信有很多种方式:自由口，PPI方式，MPI方式，Profibus方式。使用自由口方式进行编程时，在上位机和PLC中都要编写数据通信程序。使用PPI协议进行通信时，PLC可以不用编程，而且可读写所有数据区，快捷方便。这也是我们之所以要研究、找出PPI协议的源动力！

下面我们就要说说分析的方法了！

西门子的STEP7MicroWIN是用于S7-200系列PLC的开发工具，它使用PC机上的COM口通过一条PC/PPI编程电缆连到PLC的编程口上。这说明，PC实际上是可以通过串口同S7-200CPU通讯。只是我们不知道通讯协议而已。通过截获PC机串口上的收发数据，对照Step7软件发出的指令，我们就有可能分析出有关指令的报文和通讯方式；然后，直接通过串口向PLC发送报文，以验证这些指令报文是否正确。本着这一思想，我们采用以下步骤获得这些报文。

首先你这个英文的串口监控软件，英文不好的网友可以用金山快译翻译一下，你必须使用这个软件，因为我先前使用过很多的监控软件，在收发数据很多的情况下都有死机现象，造成数据丢失，容易给我们错误分析。接下来你先打开这个软件，新建、选择端口COM1,然后再将PC/PPI编程电缆接在COM1上，这样，Step7Micro/Win发给PLC的报文就可以在监视软件上完全裸露的展现在你的面前了。我们按S7-200系统手册设置好串口参数：9600，8，E偶校验，1位停止位。然后设置好Step7软件，使之能与S7-200CPU正常通讯。从Step7软件中发出一个明确指令，监视软件就能显示这条报文了（用16进制显示，ASCII码的只能看到几个版本号之类的，其他都没有意义）。

我们的破解策略就是通过软件监视的方法，分析PLC内部固有的PPI通讯协议，然后上位机采用VB编程，遵循PPI通讯协议，读写PLC数据，实现人机操作任务。这种通讯方法，与一般的自由通讯协议相比，省略了PLC的通讯程序编写，只需编写上位机的通讯程序资源。S7-200的编程口物理层为RS-485结构，SIEMENS提供MicroWin软件，采用的是PPI(PointtoPoint)协议，关于232串口转485你可以采用我们网站开发研制的自制PPI电缆，效果倍好哦！还是自己动手，丰衣足食啊！

不能光说不练啊！下面我们就说说西门子PLC到底是怎么通讯的。

PC与PLC采用主从方式通讯，PC按如下文的格式发读写指令，PLC作出接收正确的响应（返回应答数据E5H或F9H见下文分析），上位机接到此响应则发出确认命令（10025C5E16），PLC再返回给上位机相应数据。一般上位机要连接PLC就要先发送如下寻呼数据100200494B16同志们呐！我们可都是有血、有肉、有思想、有灵感的高级动物啊，面对这么多枯燥、无味、复杂、混乱的机器数字你怎么记呢？反正我是记不住啊！（^_^开始洗脑）这时你可以闭上眼睛，安静、静、再静。。。。。。想一想战争时期的战地对讲机通话模式，那么这个指令（100200494B16）就可以理解为：00呼叫02，听到请回答。10起始符02是上位机要联系的下位级的地址站号，就是要找的人00就是上位级本本身自己的站号49寻呼指令16终止符其中4B为校验码，是这样得来的：02+00+49的最后两位就是校验码，这就是所说的偶校验或称和校验也称余校验，因为取的是余数。计算器在16进制计算时公式（02+00+49）mod100得出的数就是校验码，你计算一下是不是等于4B啊！其他的所有PPI协议校验都是如此。假如02站号的PLC收到寻呼信号那么会回答：100002000216意思是：报告00，02收到，请指示这样的解释是不是有意思啊！你有更好的解释吗？接下来呢，找到了要寻呼的人PC就是司令啦就可以发号施令了，发号施令后PLC正确接收后就会发送E5字符，意思是：“02洞两明白”。其实啊，说到这里PLC只说他明白，他已经明白了上位机PC的指示，但并没有执行命令，那么要怎么他才执行命令呢？就是上位机PC发出确认命令后才执行。这时上位机会发出（1002005C5E16），意思是：“请立即执行”。然后PLC就干他应当干的工作了啊！原来PLC也不容易啊，怪不得叫下位机呢！

说了这么多乱不乱呐！目的就是要理清上下级关系、主从关系，指令的顺序，用一个好的记忆方法记住枯燥无味的机器码。

读命令分析：一次读一条数据
SDLELERSDDASAFCDASPSSAPDUFCSED
SD:(StartDelimiter)开始定界符(68H)
LE:（Length）报文数据长度
LER:（RepeatedLength）重复数据长度
SD:(StartDelimiter)开始定界符(68H)
SA:（SourceAddress）目标地址，指该地址的值，就是PLC的地址
DA:（DestinationAddress）本地地址，指该地址的指针，就是上位机自己的地址
FC:（FunctionCode）功能码，5CH为交替周期触发，6CH为首次信息周期触发，7CH为交替周期触发。
DSAP:（DestinationServiceAccessPoint）目的服务存取点
SSAP:（SourceServiceAccessPoint）源服务存取点
DU:（DataUnit）数据单元
FCS:（FrameCheckSequence）校验码
ED:（EndDelimiter）结束分界符（16H）
报文数据长度和重复数据长度为自DA至DU的数据长度，校验码为DA至DU数据的和校验，只取其中的末字节值关于这个校验码的计算方法同上面说明。
在读写PLC的变量数据中，读数据的功能码为6CH，写数据的功能码为7CH。
对于一次读取一个数据，读命令都是33个字节。前面的0—21字节是相同的，为

下面我们列表分析读取PLC密码的指令：681B1B6802006C320100000000000E00000401120A100200080000030005E0D216

因为是PC上发的读PLC数据的命令，SA=00，DA=02，如果有多个站，DA要改成相应的站号。读命令中从DA到DU的长度为1B即27个字节。从22字节开始根据读取数据的类型、位置不同而不同。上表是读不同存储器命令的Byte22—32。

上表读命令的Byte22-32从表中我们可以得出以下结果：
Byte22读取数据的长度
01：1Bit02：1Byte
04：1Word06：DoubleWord
Byte24数据个数,这里是01，一次读多个数据时见下面的说明。
Byte26存储器类型，01：V存储器00：其它
Byte27存储器类型
04：S05：SM06：AI07：AQ1E:C
81：I82：Q83：M84：V1F:T
Byte28,29,30存储器偏移量指针（存储器地址*8），如：VB100，存储器地址为100，偏移量指针为800,转换成16进制就是320H,则Byte28—29这三个字节就是：000320。
Byte31校验和，前面已说到这是从(DA+SA+DSAP+SSAP+DU)Mod256。
一次读多条数据
对于一次读多个数据的情况，前21Byte与上面相似只是长度LD，LDr及Byte14不同：
Byte14数据块占位字节，它指明数据块占用的字节数。与数据块数量有关，长度=4+数据块数*10,如：一条数据时为4+10=0E(H)；同时读M,V,Q三个不同的数据块时为4+3*10=22(H)。
Byte22总是02即以Byte为单位。
Byte24以字节为单位，连续读取的字节数。如读2个VD则Byte24=8
Byte19---30按上述一次读一个数据的格式依次列出，
Byte31---42另一类型的数据，也是按上述格式给出。
以此类推，一次最多读取222个字节的数据。

写命令分析：一次写一个DoubleWord类型的数据，写命令是40个字节，其余为38个字节。写一个DoubleWord类型的数据，前面的0—21字节为：

6823236802006C320100000000000E00000401120A10
写一个其它类型的数据，前面的0—21字节为：（与上面比较，只是长度字节发生变化）
6821216802006C320100000000000E00000401120A10

从22字节开始根据写入数据的值和位置不同而变化。上表是几个写命令的Byte22—40。
字节22232425262728293031323334353637383940
写入位置及值长度个数类型偏移量位数值、校验码、结束符
M0.0=10100010000830000000003000101007116
M0.0=00100010000830000000003000100007016
M0.1=10100010000830000010003000101007216
vb100=10020001000184000320000400081000AE16
vb100=FF02000100018400032000040008FF009D16
VW100=FFFF04000100018400032000040010FFFFA616
VD100=FFFFFFFF06000100018400032000040020FFFFFFFFB816

写命令的Byte22—最后，经分析我们可以得出以下结果：
Byte22--Byte30写入数据的长度、存储器类型、存储器偏移量与读命令相同。T，C等不能用写命令写入。
Byte32如果写入的是位数据这一字节为03，其它则为04
Byte34写入数据的位数
01:1Bit08:1Byte10H:1Word20H:1DoubleWord
Byte35--40值、校验码、结束符
如果写入的是位、字节数据，Byte35就是写入的值，Byte36=00，Byte37=检验码，Byte38=16H，结束。如果写个的是字数据（双字节），Byte35,Byte36就是写入的值，Byte37=检验码，Byte38=16H，结束。如果写个的是双字数据（四字节），Byte35—38就是写入的值，Byte39=检验码，Byte40=16H，结束。

看完上面的指令分析我们现在就举例几个常用的PPI协议来分析一下：
PC寻呼：100200494B16
PLC返回：100002020416
PC发送:1002005C5E16
PLC返回:E5
我们先来看看西门子S7－200PLC的读取密码指令：
请用串口软件以16进制发送，端口设置9600；e；8；1
发送:681B1B6802006C320100000000000E00000401120A100200080000030005E0D216意思：要求传送系统存储区05E0位开始的8个字符（这就是8个密码数值）。
如果通讯无误，PLC会返回E5，意思：已经收到
那么这时上位机再次发送指令1002005C5E16意思：请执行命令。（说到这里打住一下，PLC返回E5指令后上位机PC要在很短的时间内发送确认指令，晚了刚才的指令就无效了具体多长时间我也没测准，反正1、2秒时间是没有问题的。）那么这时PLC就真的执行命令了返回如下字符：681D1D680002083203000000000002000C00000401FF0400409B9802069D9A00767D16
好了，说到这里就此停止，大家看看密码是多少啊！你如果真正明白了PPI协议就不难找出出密码了，但是这个密码是经过二次加密的，并不是真正的密码，还需要破译，至于密码算法在此不便公开，不过你多做实验一定能得出结果的。
下面再看一个读取PLC版本号的指令：
我们在解密中首先要确定的是PLC的版本号。就是要看看是老版本还是02版的，也好做出加解密方案。他的通讯源码是这样的：
01234567891011121314151617181920212223242526272829303132
681B1B6802007C320100000000000E00000401120A100200140000030000000916
发送完上面数据PLC返回E5.
再次发送确认指令：1002005C5E16
这时plc的版本号就返回来了。看下面：
682929680002083203000000000002001800000401FF0400A04350552032323620434E20202020202030323031D716
你看这一段：4350552032323620434E20202020202030323031就是plc版本号的ASCII码。用ASC方式显示就会看的更明白上面数据是：CPUSP226SPCN0201（sp就是空格）
再一个就是读TD200密码指令：
681B1B6802006C320100000000000E00000401120A10020002000184000050B916（VW10）
写M0指令
6820206802007C320100000000000E00050501120A1001000100008300000000030001018016
读222位3区（系统区）数据指令
681B1B6802006C320100000000000E00000401120A100200DE000003000000C316
读取密码保护位指令
681B1B6802006C320100000000000E00000401120A100200010000030005D8C316
改写密码保护位指令（你来验证是否可行）
6820206802007C320100000000000E00050501120A100800010000030005D80004000804EF16
6820206802007C320100000000000E00050501120A100200010000030005D80003000804E816
全部清除指令：
6821216802007C3207000000240008000C0001120411450100FF0900081619060D0108181EEE16
块代码：08程序块0A数据块0B系统块

写指令：先发1002005C5E16后发写指令

1、写一位M区（例子M0.0）

先发1002005C5E16收到E5后

发6820206802007C320100000000000E00050501120A1001000100008300000000030001018016

收到E5说明写入完成（只要报文长度，跟校验码对了，就会回复E5）

报文长度为：目标地址到倒数第二位的校验位前面的字节长度（根据写入值不通报文长度不同）

功能码：7C表示写入；6C表示读取。

17位：05表示写入；04表示读取。

16位：16位的05表示写入的是位或者字节（即用一个字节存储）

06表示字；08表示双字（4个字节）；0C表示8个字节

数据长度（22位）：01位；02字节；04字；06双字。

数据个数：0100表示一个；0200表示连续的两个；0400连续的4个。

存储类型：26位：01V区；00其他。

27位：04S区；05SM区；06AI；07AQ；1EC；

81I；82Q；83M；84V；1FT

偏移量：000000000000000000000XXX（XXX表示位）

例如：10.3=1010.011即000053

数据形式：03表示位；04表示其他。

数据位数：即写入数据多少位。01一位；08八位；10十六位；20三十二位。

写入值：写入位，字节均用一个字节存储；写入双字得用四个字节。

校验码：即报文的偶校验（所有之和Mod100H）

终止符：16H

若M10.3=1写入，00005301D3（校验码D3是从开头第五个02到倒数第三个01的所有数字的偶校验（算术和））

因为01010.011（10.3）为000053

即：6820206802007C320100000000000E00050501120A100100010000830000530003000101D316

M10.3=0

即：6820206802007C320100000000000E00050501120A100100010000830000530003000100D216

2、写V区一个字节（例子VB100=10H）

先发1002005C5E16收到E5后

发：6820206802007C320100000000000E00050501120A100200010001840003200004000810bd16

3、写V区一个字（双字）

发：6821216802007C320100000000000E00060501120A1004000100018400032000040010abcd3016

发：6823236802007C320100000000000E00080501120A1006000100018400032000040020abcdeffe3116

读指令：先发读指令，后发1002005C5E16

1、读取数据（例子读取VW10的值，值为FFFF）

先发读取命令：

681B1B6802006C320100000000000E00000401120A10020002000184000050B916(红色或者改为04000100校验也得改)

回复E5

然后发送1002005C5E16

收到数据：

681717680002083203000000000002000600000401FF040010FFFF5D16

读指令的前21位都是相同的。读取长度，数据个数，存储类型，偏移量都与写指令里面的定义一样。

收到数据中的

16位：05表示收到数据用一个字节存储，可能是PLC位，也可能是一个字节；06表示用两个字节存储，即一个字；08双字；0C表示8个字节。

21位：FF

22位：数据形式，03表示位；04表示其他。（主要针对C,T可能是位也可能是计数值，计数时间）

24位：表示读取数值的位数。01表示一位；08八位；10十六位；20三十二位。

25位开始之后几位：要读取的数值。

若回复F9（会产生不同结果，但接受值不变）

然后发送1002005C5E16

收到数据：（关闭串口再打开的不同结果）

DAA1211B9032616640408000000002000600000401FF040010FFFF5D16

B4A1211B1030616640808000000002000600000401FF040010FFFF5D16

681717680002083203000000000002000600000401FF040010FFFF5D16

4、读取VB10

681B1B6802006C320100000000000E00000401120A10020001000184000050B816

681616680002083203000000000002000500000401FF040008FF5516

5、读取VD10

681B1B6802006C320100000000000E00000401120A10060001000184000050BC16

681919680002083203000000000002000800000401FF040020FFFF00006F16

6、读取VB10后面的8个字节

681B1B6802006C320100000000000E00000401120A10020008000184000050Bf16

681D1D680002083203000000000002000C00000401FF040040FFFF0000000000009316

7、读取V10.0

681B1B6802006C320100000000000E00000401120A10010001000184000050B716

681616680002083203000000000002000500000401FF030001014F16

4、读取Q0.1

发送：681B1B6802006C320100000000000E00000401120A100100010000820000016516

回复：E5

然后发送1002005C5E16

收到数据：

681616680002083203000000000002000500000401FF030001004E16Q0.1为0时

681616680002083203000000000002000500000401FF030001014F16Q0.1为1时

5、读取Q1.3

发送：681B1B6802006C320100000000000E00000401120A1001000100008200000B6516

681616680002083203000000000002000500000401FF030001004E16

6、读取M0.0

发送：681B1B6802006C320100000000000E00000401120A100100010000830000006516

681616680002083203000000000002000500000401FF030001004E16

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!