در آخرین PHDays 9 ما یک مسابقه برای هک یک کارخانه پمپاژ گاز برگزار کردیم - مسابقه . سه پایه در سایت با پارامترهای امنیتی مختلف (بدون امنیت، امنیت پایین، امنیت بالا) وجود داشت که همان فرآیند صنعتی را شبیهسازی میکردند: هوای تحت فشار به داخل یک بالون پمپ میشد (و سپس آزاد میشد).
با وجود پارامترهای مختلف ایمنی، ترکیب سخت افزاری پایه ها یکسان بود: سری Siemens Simatic PLC S7-300. دکمه کاهش باد اضطراری و دستگاه اندازه گیری فشار (متصل به ورودی های دیجیتال PLC (DI)). دریچه هایی که برای باد کردن و تخلیه هوا کار می کنند (متصل به خروجی های دیجیتال PLC (DO)) - شکل زیر را ببینید.
PLC بسته به خوانش فشار و مطابق با برنامه خود تصمیم به تخلیه یا باد کردن توپ گرفت (دریچه های مربوطه را باز و بسته کرد). با این حال، همه پایه ها دارای یک حالت کنترل دستی بودند که کنترل حالت های شیرها را بدون هیچ محدودیتی ممکن می کرد.
پایهها در پیچیدگی فعال کردن این حالت متفاوت بودند: در پایه محافظت نشده انجام این کار آسانتر بود، و در پایه امنیت بالا به نسبت دشوارتر بود.
پنج مشکل از شش مشکل در دو روز حل شد. شرکت کننده رتبه اول 233 امتیاز کسب کرد (او یک هفته وقت خود را برای مسابقات آماده کرد). سه برنده: جایگاه اول - a1exdandy، II - Rubikoid، III - Ze.
با این حال، در طول دوره های PHD، هیچ یک از شرکت کنندگان نتوانستند بر هر سه جایگاه غلبه کنند، بنابراین تصمیم گرفتیم یک مسابقه آنلاین برگزار کنیم و سخت ترین کار را در اوایل ژوئن منتشر کردیم. شرکتکنندگان باید کار را در عرض یک ماه تکمیل میکردند، پرچم را پیدا میکردند و راهحل را با جزئیات و به شیوهای جالب شرح میدادند.
در زیر برش، ما تجزیه و تحلیلی از بهترین راه حل برای این کار را از کسانی که در طول ماه ارسال شده اند منتشر می کنیم، توسط Alexey Kovrizhnykh (a1exdandy) از شرکت امنیت دیجیتال، که در طول دوره های PHD مقام اول را در رقابت کسب کرد، پیدا شد. در زیر متن آن را با نظرات خود ارائه می دهیم.
تحلیل اولیه
بنابراین، این کار حاوی یک آرشیو با فایل های زیر بود:
- block_upload_traffic.pcapng
- DB100.bin
- hints.txt
فایل hints.txt حاوی اطلاعات و نکات لازم برای حل کار است. در اینجا مطالب آن آمده است:
- پتروویچ دیروز به من گفت که می توانید بلوک ها را از PlcSim در Step7 بارگذاری کنید.
- در این غرفه از PLC سری سیماتیک S7-300 زیمنس استفاده شد.
- PlcSim یک شبیه ساز PLC است که به شما امکان می دهد برنامه های PLC های S7 زیمنس را اجرا و اشکال زدایی کنید.
به نظر می رسد فایل DB100.bin حاوی بلوک داده های DB100 PLC است: 00000000: 0100 0102 6e02 0401 0206 0100 0101 0102 ....n......... 00000010: 1002: 0501 0202 2002. ..... ......... 0501: 0206 0100 0102 00000020 0102 7702 0401 0206a0100 ..w............. 0103: 0102 0 02 00000030 0501 0202 ................ 1602: 0501 0206 0100 0104 0102 00000040 7502a0401 0206 u................. 0100: 0105 0102 0 02 0501 00000050 0202 1602..........0501. 0206: 0100 0106 0102 3402 4 00000060 0401 0206 .........&..... 0100: 0107c0102 2602 0501 0202 00000070 4 02 0501 L...... : 0206 0100 0108 0102 3302a0401 3 00000080 0206 ................ 0100: 0109 0102 0 02a 0501 0202 1602 00000090 .........0501 0206a0100: 010 0102b 3702 0401 0206 7 000000 0 ......".....F... 0100b010: 0102 2202 0501c 0202 4602 0501 000000 ..... .. 0c0206: 0100d 010 0102a3302 0401 0206 0100 3 000000 ................ 0d010: 0102 0e 02 0501d0202 1602 0501 ....... .... 0206e000000: 0 0100 010 0102 6 02 0401 0206 ........#...... 0100f010: 000000 0 0102 1102 0501 0202 .... ..... 2302: 0501 0206 0100 000000 0 0110 0102 3502 ......%......... 0401: 0206 0100 0111 0102 5 00000100 1202 ..... . .....&. 0501: 0202 2502 0501c0206 0100 0112 00000110 ....L......
همانطور که از نام آن پیداست، فایل block_upload_traffic.pcapng حاوی مقداری از ترافیک آپلود بلوک به PLC است.
شایان ذکر است که به دست آوردن این تخلیه ترافیک در محل مسابقه در طول کنفرانس کمی دشوارتر بود. برای انجام این کار، درک اسکریپت از فایل پروژه برای TeslaSCADA2 ضروری بود. از آن میتوان فهمید که محل تخلیه رمزگذاری شده با استفاده از RC4 در کجا قرار دارد و از چه کلیدی برای رمزگشایی آن استفاده میشود. تخلیه بلوک های داده در سایت را می توان با استفاده از سرویس گیرنده پروتکل S7 به دست آورد. برای این کار از کلاینت دمو بسته Snap7 استفاده کردم.
استخراج بلوک های پردازش سیگنال از یک تخلیه ترافیکی
با نگاهی به محتویات Dump، می توانید متوجه شوید که شامل بلوک های پردازش سیگنال OB1، FC1، FC2 و FC3 است:
این بلوک ها باید حذف شوند. این را می توان به عنوان مثال با اسکریپت زیر انجام داد که قبلاً ترافیک را از فرمت pcapng به pcap تبدیل کرده باشید:
#!/usr/bin/env python2
import struct
from scapy.all import *
packets = rdpcap('block_upload_traffic.pcap')
s7_hdr_struct = '>BBHHHHBB'
s7_hdr_sz = struct.calcsize(s7_hdr_struct)
tpkt_cotp_sz = 7
names = iter(['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin'])
buf = ''
for packet in packets:
if packet.getlayer(IP).src == '10.0.102.11':
tpkt_cotp_s7 = str(packet.getlayer(TCP).payload)
if len(tpkt_cotp_s7) < tpkt_cotp_sz + s7_hdr_sz:
continue
s7 = tpkt_cotp_s7[tpkt_cotp_sz:]
s7_hdr = s7[:s7_hdr_sz]
param_sz = struct.unpack(s7_hdr_struct, s7_hdr)[4]
s7_param = s7[12:12+param_sz]
s7_data = s7[12+param_sz:]
if s7_param in ('x1ex00', 'x1ex01'): # upload
buf += s7_data[4:]
elif s7_param == 'x1f':
with open(next(names), 'wb') as f:
f.write(buf)
buf = ''با بررسی بلوک های به دست آمده، متوجه خواهید شد که آنها همیشه با بایت های 70 70 (pp) شروع می شوند. اکنون باید یاد بگیرید که چگونه آنها را تجزیه و تحلیل کنید. اشاره انتساب نشان می دهد که برای این کار باید از PlcSim استفاده کنید.
دریافت دستورالعمل های قابل خواندن توسط انسان از بلوک ها
ابتدا سعی می کنیم S7-PlcSim را با بارگذاری چندین بلوک با دستورالعمل های تکراری (= Q 0.0) در آن با استفاده از نرم افزار Simatic Manager برنامه ریزی کنیم و PLC به دست آمده در شبیه ساز را در فایل example.plc ذخیره کنیم. با مشاهده محتویات فایل می توانید به راحتی شروع بلوک های دانلود شده را با امضای 70 70 که قبلاً کشف کرده بودیم تعیین کنید. ظاهراً قبل از بلوکها، اندازه بلوک به صورت یک مقدار اندکی 4 بایتی نوشته میشود.
پس از دریافت اطلاعات در مورد ساختار فایل های plc، برنامه عملیاتی زیر برای خواندن برنامه های PLC S7 ظاهر شد:
- با استفاده از Simatic Manager، ساختار بلوکی را در S7-PlcSim مشابه آنچه از Dump دریافت کردیم ایجاد می کنیم. اندازههای بلوک باید مطابقت داشته باشند (این امر با پر کردن بلوکها با تعداد دستورالعملهای لازم به دست میآید) و شناسههای آنها (OB1، FC1، FC2، FC3).
- PLC را در یک فایل ذخیره کنید.
- محتویات بلوک ها را در فایل به دست آمده با بلوک های ترافیک dump جایگزین می کنیم. شروع بلوک ها با امضا تعیین می شود.
- فایل حاصل را در S7-PlcSim بارگذاری می کنیم و به محتویات بلوک ها در Simatic Manager نگاه می کنیم.
بلاک ها را می توان به عنوان مثال با کد زیر جایگزین کرد:
with open('original.plc', 'rb') as f:
plc = f.read()
blocks = []
for fname in ['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin']:
with open(fname, 'rb') as f:
blocks.append(f.read())
i = plc.find(b'pp')
for block in blocks:
plc = plc[:i] + block + plc[i+len(block):]
i = plc.find(b'pp', i + 1)
with open('target.plc', 'wb') as f:
f.write(plc)الکسی مسیری شاید دشوارتر، اما هنوز درست را در پیش گرفت. ما فرض کردیم که شرکتکنندگان از برنامه NetToPlcSim استفاده میکنند تا PlcSim بتواند از طریق شبکه ارتباط برقرار کند، بلوکها را از طریق Snap7 در PlcSim آپلود کند و سپس این بلوکها را به عنوان پروژه از PlcSim با استفاده از محیط توسعه دانلود کند.
با باز کردن فایل به دست آمده در S7-PlcSim، می توانید بلوک های بازنویسی شده را با استفاده از Simatic Manager بخوانید. عملکردهای اصلی کنترل دستگاه در بلوک FC1 ثبت شده است. نکته قابل توجه متغیر #TEMP0 است که وقتی روشن می شود به نظر می رسد کنترل PLC را بر اساس مقادیر حافظه بیت M2.2 و M2.3 روی حالت دستی تنظیم می کند. مقدار #TEMP0 توسط تابع FC3 تنظیم می شود.
برای حل مشکل، باید تابع FC3 را تجزیه و تحلیل کنید و بفهمید که چه کاری باید انجام شود تا یک تابع منطقی برگرداند.
بلوکهای پردازش سیگنال PLC در جایگاه Low Security در محل مسابقه به روشی مشابه چیده شدهاند، اما برای تنظیم مقدار متغیر #TEMP0، نوشتن خط my ninja way در بلوک DB1 کافی است. بررسی مقدار در یک بلوک ساده بود و نیازی به دانش عمیق زبان برنامه نویسی بلوک نداشت. بدیهی است که در سطح امنیت بالا، دستیابی به کنترل دستی بسیار دشوارتر خواهد بود و درک پیچیدگی های زبان STL (یکی از راه های برنامه ریزی S7 PLC) ضروری است.
بلوک معکوس FC3
محتویات بلوک FC3 در نمایش STL:
L B#16#0
T #TEMP13
T #TEMP15
L P#DBX 0.0
T #TEMP4
CLR
= #TEMP14
M015: L #TEMP4
LAR1
OPN DB 100
L DBLG
TAR1
<=D
JC M016
L DW#16#0
T #TEMP0
L #TEMP6
L W#16#0
<>I
JC M00d
L P#DBX 0.0
LAR1
M00d: L B [AR1,P#0.0]
T #TEMP5
L W#16#1
==I
JC M007
L #TEMP5
L W#16#2
==I
JC M008
L #TEMP5
L W#16#3
==I
JC M00f
L #TEMP5
L W#16#4
==I
JC M00e
L #TEMP5
L W#16#5
==I
JC M011
L #TEMP5
L W#16#6
==I
JC M012
JU M010
M007: +AR1 P#1.0
L P#DBX 0.0
LAR2
L B [AR1,P#0.0]
L C#8
*I
+AR2
+AR1 P#1.0
L B [AR1,P#0.0]
JL M003
JU M001
JU M002
JU M004
M003: JU M005
M001: OPN DB 101
L B [AR2,P#0.0]
T #TEMP0
JU M006
M002: OPN DB 101
L B [AR2,P#0.0]
T #TEMP1
JU M006
M004: OPN DB 101
L B [AR2,P#0.0]
T #TEMP2
JU M006
M00f: +AR1 P#1.0
L B [AR1,P#0.0]
L C#8
*I
T #TEMP11
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
TAR1 #TEMP4
OPN DB 101
L P#DBX 0.0
LAR1
L #TEMP11
+AR1
LAR2 #TEMP9
L B [AR2,P#0.0]
T B [AR1,P#0.0]
L #TEMP4
LAR1
JU M006
M008: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP3
+AR1 P#1.0
L B [AR1,P#0.0]
JL M009
JU M00b
JU M00a
JU M00c
M009: JU M005
M00b: L #TEMP3
T #TEMP0
JU M006
M00a: L #TEMP3
T #TEMP1
JU M006
M00c: L #TEMP3
T #TEMP2
JU M006
M00e: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
AW
INVI
T #TEMP12
L B [AR1,P#0.0]
L B [AR2,P#0.0]
OW
L #TEMP12
AW
T B [AR1,P#0.0]
L DW#16#0
T #TEMP0
L MB 101
T #TEMP1
L MB 102
T #TEMP2
L #TEMP4
LAR1
JU M006
M011: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
-I
T B [AR1,P#0.0]
L DW#16#0
T #TEMP0
L MB 101
T #TEMP1
L MB 102
T #TEMP2
L #TEMP4
LAR1
JU M006
M012: L #TEMP15
INC 1
T #TEMP15
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
==I
JCN M013
JU M014
M013: L P#DBX 0.0
LAR1
T #TEMP4
L B#16#0
T #TEMP6
JU M006
M014: L #TEMP4
LAR1
L #TEMP13
L L#1
+I
T #TEMP13
JU M006
M006: L #TEMP0
T MB 100
L #TEMP1
T MB 101
L #TEMP2
T MB 102
+AR1 P#1.0
L #TEMP6
+ 1
T #TEMP6
JU M005
M010: L P#DBX 0.0
LAR1
L 0
T #TEMP6
TAR1 #TEMP4
M005: TAR1 #TEMP4
CLR
= #TEMP16
L #TEMP13
L L#20
==I
S #TEMP16
L #TEMP15
==I
A #TEMP16
JC M017
L #TEMP13
L L#20
<I
S #TEMP16
L #TEMP15
==I
A #TEMP16
JC M018
JU M019
M017: SET
= #TEMP14
JU M016
M018: CLR
= #TEMP14
JU M016
M019: CLR
O #TEMP14
= #RET_VAL
JU M015
M016: CLR
O #TEMP14
= #RET_VALکد بسیار طولانی است و ممکن است برای کسی که با STL آشنا نیست پیچیده به نظر برسد. تحلیل هر دستورالعمل در چارچوب این مقاله فایده ای ندارد؛ دستورالعمل ها و قابلیت های دقیق زبان STL را می توان در کتابچه راهنمای مربوطه یافت: . در اینجا من همان کد را پس از پردازش ارائه خواهم کرد - تغییر نام برچسب ها و متغیرها و اضافه کردن نظراتی که الگوریتم عملیات و برخی از ساختارهای زبان STL را توصیف می کند. اجازه دهید فوراً متذکر شوم که بلوک مورد نظر حاوی یک ماشین مجازی است که مقداری بایت کد واقع در بلوک DB100 را اجرا می کند که محتویات آن را می دانیم. دستورالعمل های ماشین مجازی شامل 1 بایت کد عملیاتی و بایت آرگومان، یک بایت برای هر آرگومان است. همه دستورالعمل های در نظر گرفته شده دارای دو آرگومان هستند؛ من مقادیر آنها را در نظرات به عنوان X و Y تعیین کردم.
کد پس از پردازش]
# Инициализация различных переменных
L B#16#0
T #CHECK_N # Счетчик успешно пройденных проверок
T #COUNTER_N # Счетчик общего количества проверок
L P#DBX 0.0
T #POINTER # Указатель на текущую инструкцию
CLR
= #PRE_RET_VAL
# Основной цикл работы интерпретатора байт-кода
LOOP: L #POINTER
LAR1
OPN DB 100
L DBLG
TAR1
<=D # Проверка выхода указателя за пределы программы
JC FINISH
L DW#16#0
T #REG0
L #TEMP6
L W#16#0
<>I
JC M00d
L P#DBX 0.0
LAR1
# Конструкция switch - case для обработки различных опкодов
M00d: L B [AR1,P#0.0]
T #OPCODE
L W#16#1
==I
JC OPCODE_1
L #OPCODE
L W#16#2
==I
JC OPCODE_2
L #OPCODE
L W#16#3
==I
JC OPCODE_3
L #OPCODE
L W#16#4
==I
JC OPCODE_4
L #OPCODE
L W#16#5
==I
JC OPCODE_5
L #OPCODE
L W#16#6
==I
JC OPCODE_6
JU OPCODE_OTHER
# Обработчик опкода 01: загрузка значения из DB101[X] в регистр Y
# OP01(X, Y): REG[Y] = DB101[X]
OPCODE_1: +AR1 P#1.0
L P#DBX 0.0
LAR2
L B [AR1,P#0.0] # Загрузка аргумента X (индекс в DB101)
L C#8
*I
+AR2
+AR1 P#1.0
L B [AR1,P#0.0] # Загрузка аргумента Y (индекс регистра)
JL M003 # Аналог switch - case на основе значения Y
JU M001 # для выбора необходимого регистра для записи.
JU M002 # Подобные конструкции используются и в других
JU M004 # операциях ниже для аналогичных целей
M003: JU LOOPEND
M001: OPN DB 101
L B [AR2,P#0.0]
T #REG0 # Запись значения DB101[X] в REG[0]
JU PRE_LOOPEND
M002: OPN DB 101
L B [AR2,P#0.0]
T #REG1 # Запись значения DB101[X] в REG[1]
JU PRE_LOOPEND
M004: OPN DB 101
L B [AR2,P#0.0]
T #REG2 # Запись значения DB101[X] в REG[2]
JU PRE_LOOPEND
# Обработчик опкода 02: загрузка значения X в регистр Y
# OP02(X, Y): REG[Y] = X
OPCODE_2: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP3
+AR1 P#1.0
L B [AR1,P#0.0]
JL M009
JU M00b
JU M00a
JU M00c
M009: JU LOOPEND
M00b: L #TEMP3
T #REG0
JU PRE_LOOPEND
M00a: L #TEMP3
T #REG1
JU PRE_LOOPEND
M00c: L #TEMP3
T #REG2
JU PRE_LOOPEND
# Опкод 03 не используется в программе, поэтому пропустим его
...
# Обработчик опкода 04: сравнение регистров X и Y
# OP04(X, Y): REG[0] = 0; REG[X] = (REG[X] == REG[Y])
OPCODE_4: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7 # первый аргумент - X
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9 # REG[X]
LAR2 #TEMP10 # REG[Y]
L B [AR1,P#0.0]
L B [AR2,P#0.0]
AW
INVI
T #TEMP12 # ~(REG[Y] & REG[X])
L B [AR1,P#0.0]
L B [AR2,P#0.0]
OW
L #TEMP12
AW # (~(REG[Y] & REG[X])) & (REG[Y] | REG[X]) - аналог проверки на равенство
T B [AR1,P#0.0]
L DW#16#0
T #REG0
L MB 101
T #REG1
L MB 102
T #REG2
L #POINTER
LAR1
JU PRE_LOOPEND
# Обработчик опкода 05: вычитание регистра Y из X
# OP05(X, Y): REG[0] = 0; REG[X] = REG[X] - REG[Y]
OPCODE_5: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
-I # ACCU1 = ACCU2 - ACCU1, REG[X] - REG[Y]
T B [AR1,P#0.0]
L DW#16#0
T #REG0
L MB 101
T #REG1
L MB 102
T #REG2
L #POINTER
LAR1
JU PRE_LOOPEND
# Обработчик опкода 06: инкремент #CHECK_N при равенстве регистров X и Y
# OP06(X, Y): #CHECK_N += (1 if REG[X] == REG[Y] else 0)
OPCODE_6: L #COUNTER_N
INC 1
T #COUNTER_N
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7 # REG[X]
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9 # REG[Y]
LAR2 #TEMP10 # REG[X]
L B [AR1,P#0.0]
L B [AR2,P#0.0]
==I
JCN M013
JU M014
M013: L P#DBX 0.0
LAR1
T #POINTER
L B#16#0
T #TEMP6
JU PRE_LOOPEND
M014: L #POINTER
LAR1
# Инкремент значения #CHECK_N
L #CHECK_N
L L#1
+I
T #CHECK_N
JU PRE_LOOPEND
PRE_LOOPEND: L #REG0
T MB 100
L #REG1
T MB 101
L #REG2
T MB 102
+AR1 P#1.0
L #TEMP6
+ 1
T #TEMP6
JU LOOPEND
OPCODE_OTHER: L P#DBX 0.0
LAR1
L 0
T #TEMP6
TAR1 #POINTER
LOOPEND: TAR1 #POINTER
CLR
= #TEMP16
L #CHECK_N
L L#20
==I
S #TEMP16
L #COUNTER_N
==I
A #TEMP16
# Все проверки пройдены, если #CHECK_N == #COUNTER_N == 20
JC GOOD
L #CHECK_N
L L#20
<I
S #TEMP16
L #COUNTER_N
==I
A #TEMP16
JC FAIL
JU M019
GOOD: SET
= #PRE_RET_VAL
JU FINISH
FAIL: CLR
= #PRE_RET_VAL
JU FINISH
M019: CLR
O #PRE_RET_VAL
= #RET_VAL
JU LOOP
FINISH: CLR
O #PRE_RET_VAL
= #RET_VALبا داشتن ایده ای از دستورالعمل های ماشین مجازی، بیایید یک disassembler کوچک برای تجزیه بایت کد در بلوک DB100 بنویسیم:
import string
alph = string.ascii_letters + string.digits
with open('DB100.bin', 'rb') as f:
m = f.read()
pc = 0
while pc < len(m):
op = m[pc]
if op == 1:
print('R{} = DB101[{}]'.format(m[pc + 2], m[pc + 1]))
pc += 3
elif op == 2:
c = chr(m[pc + 1])
c = c if c in alph else '?'
print('R{} = {:02x} ({})'.format(m[pc + 2], m[pc + 1], c))
pc += 3
elif op == 4:
print('R0 = 0; R{} = (R{} == R{})'.format(
m[pc + 1], m[pc + 1], m[pc + 2]))
pc += 3
elif op == 5:
print('R0 = 0; R{} = R{} - R{}'.format(
m[pc + 1], m[pc + 1], m[pc + 2]))
pc += 3
elif op == 6:
print('CHECK (R{} == R{})n'.format(
m[pc + 1], m[pc + 2]))
pc += 3
else:
print('unk opcode {}'.format(op))
breakدر نتیجه کد ماشین مجازی زیر را دریافت می کنیم:
کد ماشین مجازی
R1 = DB101[0]
R2 = 6e (n)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[1]
R2 = 10 (?)
R0 = 0; R1 = R1 - R2
R2 = 20 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[2]
R2 = 77 (w)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[3]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[4]
R2 = 75 (u)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[5]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[6]
R2 = 34 (4)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[7]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[8]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[9]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[10]
R2 = 37 (7)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[11]
R2 = 22 (?)
R0 = 0; R1 = R1 - R2
R2 = 46 (F)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[12]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[13]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[14]
R2 = 6d (m)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[15]
R2 = 11 (?)
R0 = 0; R1 = R1 - R2
R2 = 23 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[16]
R2 = 35 (5)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[17]
R2 = 12 (?)
R0 = 0; R1 = R1 - R2
R2 = 25 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[18]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[19]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)همانطور که می بینید، این برنامه به سادگی هر کاراکتر از DB101 را برای برابری با یک مقدار مشخص بررسی می کند. خط نهایی برای گذراندن همه چک ها این است: n0w u 4r3 7h3 m4573r. اگر این خط در بلوک DB101 قرار گیرد، کنترل دستی PLC فعال شده و امکان انفجار یا تخلیه بادکنک وجود خواهد داشت.
همین! الکسی سطح بالایی از دانش را نشان داد که شایسته یک نینجا صنعتی است :) ما جوایز به یاد ماندنی را برای برنده ارسال کردیم. با تشکر فراوان از همه شرکت کنندگان!
منبع: www.habr.com