ב-PHDays 9 האחרונים קיימנו תחרות לפריצת מפעל לשאיבת גז - תחרות . באתר היו שלושה דוכנים עם פרמטרי אבטחה שונים (No Security, Low Security, High Security), המדמים את אותו תהליך תעשייתי: אוויר בלחץ נשאב לבלון (ואז שוחרר).
למרות פרמטרי הבטיחות השונים, הרכב החומרה של המעמדים היה זהה: סדרת Siemens Simatic PLC S7-300; לחצן ניפוח חירום ומכשיר מדידת לחץ (מחובר לכניסות דיגיטליות של PLC (DI)); שסתומים הפועלים לניפוח וניפוח אוויר (מחוברים ליציאות הדיגיטליות של ה-PLC (DO)) - ראה את האיור שלהלן.
ה-PLC, בהתאם לקריאת הלחץ ובהתאם לתוכנית שלו, קיבל החלטה לרוקן או לנפח את הכדור (פתח וסגר את השסתומים המתאימים). עם זאת, לכל הדוכנים היה מצב בקרה ידני, שאיפשר לשלוט במצבי השסתומים ללא כל הגבלה.
הדוכנים היו שונים במורכבות של הפעלת מצב זה: בעמדה הבלתי מוגנת זה היה הכי קל לעשות זאת, ובדוכן High Security זה היה יותר קשה בהתאם.
חמש מתוך שש הבעיות נפתרו תוך יומיים; המשתתף במקום הראשון זכה ב-233 נקודות (הוא בילה שבוע בהכנות לתחרות). שלושה זוכים: מקום I - a1exdandy, II - Rubikoid, III - Ze.
עם זאת, במהלך PHDays אף אחד מהמשתתפים לא הצליח להתגבר על שלושת הדוכנים, אז החלטנו לערוך תחרות מקוונת ופרסמנו את המשימה הקשה ביותר בתחילת יוני. המשתתפים היו צריכים להשלים את המשימה תוך חודש, למצוא את הדגל, ולתאר את הפתרון בפירוט ובצורה מעניינת.
מתחת לגזרה אנו מפרסמים ניתוח של הפתרון הטוב ביותר למשימה מאלה שנשלחו במהלך החודש, הוא נמצא על ידי Alexey Kovriznykh (a1exdandy) מחברת Digital Security, שתפס את המקום הראשון בתחרות במהלך PHDays. להלן אנו מציגים את הטקסט שלה עם הערותינו.
ניתוח ראשוני
אז, המשימה הכילה ארכיון עם הקבצים הבאים:
- block_upload_traffic.pcapng
- DB100.bin
- hints.txt
קובץ hints.txt מכיל את המידע והרמזים הדרושים לפתרון המשימה. להלן תוכנו:
- פטרוביץ' אמר לי אתמול שאתה יכול לטעון בלוקים מ- PlcSim לשלב 7.
- בדוכן נעשה שימוש ב-PLC מסדרת Siemens Simatic S7-300.
- PlcSim הוא אמולטור PLC המאפשר לך להפעיל ולאפות באגים בתוכניות עבור PLCs של סימנס S7.
נראה שהקובץ DB100.bin מכיל את בלוק הנתונים DB100 PLC: 00000000: 0100 0102 6e02 0401 0206 0100 0101 0102 ....n......... 00000010: 1002 0501 0202 2002 0501 0206 . ..... ......... 0100: 0102 00000020 0102 7702 0401 0206 0100 0103a0102 ..w............. 0: 02 00000030 0501 0202 1602 0501 ................... 0206 0100............0104. 0102: 00000040 7502 0401 0206 0100 0105 0102 0 ......... & ..... 02: 0501C00000050 0202 1602 0501 0206 0100 0106 0102 L ......... 3402. 4 : 00000060 0401 0206 0100 0107a0102 2602 0501 0202 ................ 00000070: 4 02 0501 0206a 0100 0108 0102 3302 ........... 0401a3: 00000080 0206b 0100 0109 0102 0 02 0501 ......".....F... 0202b1602: 00000090 0501 0206c 0100 010 0102 ........... .. 3702c0401: 0206d 7 000000a0 0100 010 0102 2202 0501 ................ 0202d4602: 0501 000000e 0 0206d0100 010 0102 3302 . .... 0401e0206: 0100 3 000000 0 010 0102 0 02 ........#...... 0501f0202: 1602 0501 0206 000000 0 0100 ..... 010 0102 ..... ..... 6: 02 0401 0206 0100 010 000000 0 0102 ......%......... 1102: 0501 0202 2302 0501 0206 0100 .. .. .....&. 000000: 0 0110 0102c3502 0401 0206 0100 ....L......
כפי שהשם מרמז, הקובץ block_upload_traffic.pcapng מכיל dump של תעבורת העלאה בלוק ל-PLC.
ראוי לציין שהמזבלה הזו באתר התחרות במהלך הכנס הייתה קצת יותר קשה להשגה. לשם כך, היה צורך להבין את הסקריפט מקובץ הפרויקט עבור TeslaSCADA2. ממנו ניתן היה להבין היכן נמצא ה-dump המוצפן באמצעות RC4 ובאיזה מפתח צריך להשתמש כדי לפענח אותו. ניתן היה להשיג השלכות של בלוקי נתונים באתר באמצעות לקוח פרוטוקול S7. לשם כך השתמשתי בלקוח ההדגמה מחבילת Snap7.
חילוץ בלוקים לעיבוד אותות ממזבלה של תנועה
בהסתכלות על התוכן של ה-dump, אתה יכול להבין שהוא מכיל בלוקים לעיבוד אותות OB1, FC1, FC2 ו-FC3:
יש להסיר את הבלוקים הללו. ניתן לעשות זאת, למשל, עם הסקריפט הבא, לאחר שהמיר בעבר את התעבורה מפורמט pcapng ל-pcap:
#!/usr/bin/env python2
import struct
from scapy.all import *
packets = rdpcap('block_upload_traffic.pcap')
s7_hdr_struct = '>BBHHHHBB'
s7_hdr_sz = struct.calcsize(s7_hdr_struct)
tpkt_cotp_sz = 7
names = iter(['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin'])
buf = ''
for packet in packets:
if packet.getlayer(IP).src == '10.0.102.11':
tpkt_cotp_s7 = str(packet.getlayer(TCP).payload)
if len(tpkt_cotp_s7) < tpkt_cotp_sz + s7_hdr_sz:
continue
s7 = tpkt_cotp_s7[tpkt_cotp_sz:]
s7_hdr = s7[:s7_hdr_sz]
param_sz = struct.unpack(s7_hdr_struct, s7_hdr)[4]
s7_param = s7[12:12+param_sz]
s7_data = s7[12+param_sz:]
if s7_param in ('x1ex00', 'x1ex01'): # upload
buf += s7_data[4:]
elif s7_param == 'x1f':
with open(next(names), 'wb') as f:
f.write(buf)
buf = ''לאחר בחינת הבלוקים המתקבלים, תבחין שהם תמיד מתחילים עם בתים 70 70 (עמוד). עכשיו אתה צריך ללמוד איך לנתח אותם. הרמז להקצאה מציע שעליך להשתמש ב- PlcSim לשם כך.
קבלת הוראות הניתנות לקריאה על ידי אדם מבלוקים
ראשית, בואו ננסה לתכנת את S7-PlcSim על ידי טעינת מספר בלוקים עם הוראות חוזרות (= Q 0.0) לתוכו באמצעות תוכנת Simatic Manager, ושמירת ה-PLC שהתקבל באמולטור לקובץ example.plc. על ידי התבוננות בתוכן הקובץ, תוכל לקבוע בקלות את תחילת הבלוקים שהורדו על ידי החתימה 70 70, שגילינו קודם לכן. לפני הבלוקים, ככל הנראה, גודל הבלוק נכתב כערך אנדיאן קטן של 4 בתים.
לאחר שקיבלנו מידע על מבנה קבצי plc, הופיעה תוכנית הפעולה הבאה לקריאת תוכניות PLC S7:
- באמצעות Simatic Manager, אנו יוצרים מבנה בלוק ב-S7-PlcSim דומה לזה שקיבלנו מה-dump. גדלי הבלוקים חייבים להתאים (זה מושג על ידי מילוי הבלוקים במספר ההוראות הנדרש) והמזהים שלהם (OB1, FC1, FC2, FC3).
- שמור את ה-PLC לקובץ.
- אנו מחליפים את תוכן הבלוקים בקובץ המתקבל בבלוקים מ-Traffic dump. תחילת הבלוקים נקבעת על ידי החתימה.
- אנו טוענים את הקובץ המתקבל לתוך S7-PlcSim ומסתכלים על תוכן הבלוקים ב-Simatic Manager.
ניתן להחליף בלוקים, למשל, בקוד הבא:
with open('original.plc', 'rb') as f:
plc = f.read()
blocks = []
for fname in ['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin']:
with open(fname, 'rb') as f:
blocks.append(f.read())
i = plc.find(b'pp')
for block in blocks:
plc = plc[:i] + block + plc[i+len(block):]
i = plc.find(b'pp', i + 1)
with open('target.plc', 'wb') as f:
f.write(plc)אלכסיי לקח דרך אולי קשה יותר, אבל עדיין נכונה. הנחנו שהמשתתפים ישתמשו בתוכנית NetToPlcSim כדי ש- PlcSim תוכל לתקשר דרך הרשת, להעלות בלוקים ל- PlcSim דרך Snap7, ואז להוריד את הבלוקים האלה כפרויקט מ- PlcSim באמצעות סביבת הפיתוח.
על ידי פתיחת הקובץ שנוצר ב-S7-PlcSim, אתה יכול לקרוא את הבלוקים שהוחלפו באמצעות ה-Simatic Manager. פונקציות בקרת ההתקן העיקריות נרשמות בבלוק FC1. ראוי לציין במיוחד את המשתנה #TEMP0, שכאשר מופעל נראה כי הוא מגדיר את בקרת ה-PLC למצב ידני בהתבסס על ערכי הזיכרון M2.2 ו-M2.3. הערך #TEMP0 נקבע על ידי הפונקציה FC3.
כדי לפתור את הבעיה, עליך לנתח את פונקציית FC3 ולהבין מה צריך לעשות כדי שהיא תחזיר פונקציה הגיונית.
בלוקים לעיבוד אותות PLC בדוכן Low Security באתר התחרות היו מסודרים בצורה דומה, אבל כדי להגדיר את הערך של המשתנה #TEMP0, זה היה מספיק לכתוב את השורה שלי דרך הנינג'ה לתוך בלוק DB1. בדיקת הערך בבלוק הייתה פשוטה ולא דרשה ידע מעמיק בשפת התכנות הבלוק. ברור שברמת האבטחה הגבוהה, השגת שליטה ידנית תהיה הרבה יותר קשה ויש צורך להבין את המורכבויות של שפת STL (אחת הדרכים לתכנת את ה-S7 PLC).
בלוק הפוך FC3
התוכן של בלוק FC3 בייצוג STL:
L B#16#0
T #TEMP13
T #TEMP15
L P#DBX 0.0
T #TEMP4
CLR
= #TEMP14
M015: L #TEMP4
LAR1
OPN DB 100
L DBLG
TAR1
<=D
JC M016
L DW#16#0
T #TEMP0
L #TEMP6
L W#16#0
<>I
JC M00d
L P#DBX 0.0
LAR1
M00d: L B [AR1,P#0.0]
T #TEMP5
L W#16#1
==I
JC M007
L #TEMP5
L W#16#2
==I
JC M008
L #TEMP5
L W#16#3
==I
JC M00f
L #TEMP5
L W#16#4
==I
JC M00e
L #TEMP5
L W#16#5
==I
JC M011
L #TEMP5
L W#16#6
==I
JC M012
JU M010
M007: +AR1 P#1.0
L P#DBX 0.0
LAR2
L B [AR1,P#0.0]
L C#8
*I
+AR2
+AR1 P#1.0
L B [AR1,P#0.0]
JL M003
JU M001
JU M002
JU M004
M003: JU M005
M001: OPN DB 101
L B [AR2,P#0.0]
T #TEMP0
JU M006
M002: OPN DB 101
L B [AR2,P#0.0]
T #TEMP1
JU M006
M004: OPN DB 101
L B [AR2,P#0.0]
T #TEMP2
JU M006
M00f: +AR1 P#1.0
L B [AR1,P#0.0]
L C#8
*I
T #TEMP11
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
TAR1 #TEMP4
OPN DB 101
L P#DBX 0.0
LAR1
L #TEMP11
+AR1
LAR2 #TEMP9
L B [AR2,P#0.0]
T B [AR1,P#0.0]
L #TEMP4
LAR1
JU M006
M008: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP3
+AR1 P#1.0
L B [AR1,P#0.0]
JL M009
JU M00b
JU M00a
JU M00c
M009: JU M005
M00b: L #TEMP3
T #TEMP0
JU M006
M00a: L #TEMP3
T #TEMP1
JU M006
M00c: L #TEMP3
T #TEMP2
JU M006
M00e: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
AW
INVI
T #TEMP12
L B [AR1,P#0.0]
L B [AR2,P#0.0]
OW
L #TEMP12
AW
T B [AR1,P#0.0]
L DW#16#0
T #TEMP0
L MB 101
T #TEMP1
L MB 102
T #TEMP2
L #TEMP4
LAR1
JU M006
M011: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
-I
T B [AR1,P#0.0]
L DW#16#0
T #TEMP0
L MB 101
T #TEMP1
L MB 102
T #TEMP2
L #TEMP4
LAR1
JU M006
M012: L #TEMP15
INC 1
T #TEMP15
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
==I
JCN M013
JU M014
M013: L P#DBX 0.0
LAR1
T #TEMP4
L B#16#0
T #TEMP6
JU M006
M014: L #TEMP4
LAR1
L #TEMP13
L L#1
+I
T #TEMP13
JU M006
M006: L #TEMP0
T MB 100
L #TEMP1
T MB 101
L #TEMP2
T MB 102
+AR1 P#1.0
L #TEMP6
+ 1
T #TEMP6
JU M005
M010: L P#DBX 0.0
LAR1
L 0
T #TEMP6
TAR1 #TEMP4
M005: TAR1 #TEMP4
CLR
= #TEMP16
L #TEMP13
L L#20
==I
S #TEMP16
L #TEMP15
==I
A #TEMP16
JC M017
L #TEMP13
L L#20
<I
S #TEMP16
L #TEMP15
==I
A #TEMP16
JC M018
JU M019
M017: SET
= #TEMP14
JU M016
M018: CLR
= #TEMP14
JU M016
M019: CLR
O #TEMP14
= #RET_VAL
JU M015
M016: CLR
O #TEMP14
= #RET_VALהקוד די ארוך ועשוי להיראות מסובך למי שלא מכיר את STL. אין טעם לנתח כל הוראה במסגרת מאמר זה; ניתן למצוא הוראות ויכולות מפורטות של שפת STL במדריך המתאים: . כאן אציג את אותו הקוד לאחר עיבוד - שינוי שמות התוויות והמשתנים והוספת הערות המתארות את אלגוריתם הפעולה וכמה מבני שפת STL. הרשו לי מיד לציין כי הבלוק המדובר מכיל מכונה וירטואלית שמבצעת קוד בתים כלשהו הנמצא בבלוק DB100, שאת תוכנו אנו יודעים. הוראות מכונה וירטואלית מורכבות מבייט אחד של קוד הפעלה ובייטים של ארגומנטים, בייט אחד לכל ארגומנט. לכל ההוראות הנחשבות יש שני טיעונים; ציינתי את הערכים שלהן בהערות כ-X ו-Y.
קוד לאחר עיבוד]
# Инициализация различных переменных
L B#16#0
T #CHECK_N # Счетчик успешно пройденных проверок
T #COUNTER_N # Счетчик общего количества проверок
L P#DBX 0.0
T #POINTER # Указатель на текущую инструкцию
CLR
= #PRE_RET_VAL
# Основной цикл работы интерпретатора байт-кода
LOOP: L #POINTER
LAR1
OPN DB 100
L DBLG
TAR1
<=D # Проверка выхода указателя за пределы программы
JC FINISH
L DW#16#0
T #REG0
L #TEMP6
L W#16#0
<>I
JC M00d
L P#DBX 0.0
LAR1
# Конструкция switch - case для обработки различных опкодов
M00d: L B [AR1,P#0.0]
T #OPCODE
L W#16#1
==I
JC OPCODE_1
L #OPCODE
L W#16#2
==I
JC OPCODE_2
L #OPCODE
L W#16#3
==I
JC OPCODE_3
L #OPCODE
L W#16#4
==I
JC OPCODE_4
L #OPCODE
L W#16#5
==I
JC OPCODE_5
L #OPCODE
L W#16#6
==I
JC OPCODE_6
JU OPCODE_OTHER
# Обработчик опкода 01: загрузка значения из DB101[X] в регистр Y
# OP01(X, Y): REG[Y] = DB101[X]
OPCODE_1: +AR1 P#1.0
L P#DBX 0.0
LAR2
L B [AR1,P#0.0] # Загрузка аргумента X (индекс в DB101)
L C#8
*I
+AR2
+AR1 P#1.0
L B [AR1,P#0.0] # Загрузка аргумента Y (индекс регистра)
JL M003 # Аналог switch - case на основе значения Y
JU M001 # для выбора необходимого регистра для записи.
JU M002 # Подобные конструкции используются и в других
JU M004 # операциях ниже для аналогичных целей
M003: JU LOOPEND
M001: OPN DB 101
L B [AR2,P#0.0]
T #REG0 # Запись значения DB101[X] в REG[0]
JU PRE_LOOPEND
M002: OPN DB 101
L B [AR2,P#0.0]
T #REG1 # Запись значения DB101[X] в REG[1]
JU PRE_LOOPEND
M004: OPN DB 101
L B [AR2,P#0.0]
T #REG2 # Запись значения DB101[X] в REG[2]
JU PRE_LOOPEND
# Обработчик опкода 02: загрузка значения X в регистр Y
# OP02(X, Y): REG[Y] = X
OPCODE_2: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP3
+AR1 P#1.0
L B [AR1,P#0.0]
JL M009
JU M00b
JU M00a
JU M00c
M009: JU LOOPEND
M00b: L #TEMP3
T #REG0
JU PRE_LOOPEND
M00a: L #TEMP3
T #REG1
JU PRE_LOOPEND
M00c: L #TEMP3
T #REG2
JU PRE_LOOPEND
# Опкод 03 не используется в программе, поэтому пропустим его
...
# Обработчик опкода 04: сравнение регистров X и Y
# OP04(X, Y): REG[0] = 0; REG[X] = (REG[X] == REG[Y])
OPCODE_4: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7 # первый аргумент - X
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9 # REG[X]
LAR2 #TEMP10 # REG[Y]
L B [AR1,P#0.0]
L B [AR2,P#0.0]
AW
INVI
T #TEMP12 # ~(REG[Y] & REG[X])
L B [AR1,P#0.0]
L B [AR2,P#0.0]
OW
L #TEMP12
AW # (~(REG[Y] & REG[X])) & (REG[Y] | REG[X]) - аналог проверки на равенство
T B [AR1,P#0.0]
L DW#16#0
T #REG0
L MB 101
T #REG1
L MB 102
T #REG2
L #POINTER
LAR1
JU PRE_LOOPEND
# Обработчик опкода 05: вычитание регистра Y из X
# OP05(X, Y): REG[0] = 0; REG[X] = REG[X] - REG[Y]
OPCODE_5: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
-I # ACCU1 = ACCU2 - ACCU1, REG[X] - REG[Y]
T B [AR1,P#0.0]
L DW#16#0
T #REG0
L MB 101
T #REG1
L MB 102
T #REG2
L #POINTER
LAR1
JU PRE_LOOPEND
# Обработчик опкода 06: инкремент #CHECK_N при равенстве регистров X и Y
# OP06(X, Y): #CHECK_N += (1 if REG[X] == REG[Y] else 0)
OPCODE_6: L #COUNTER_N
INC 1
T #COUNTER_N
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7 # REG[X]
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9 # REG[Y]
LAR2 #TEMP10 # REG[X]
L B [AR1,P#0.0]
L B [AR2,P#0.0]
==I
JCN M013
JU M014
M013: L P#DBX 0.0
LAR1
T #POINTER
L B#16#0
T #TEMP6
JU PRE_LOOPEND
M014: L #POINTER
LAR1
# Инкремент значения #CHECK_N
L #CHECK_N
L L#1
+I
T #CHECK_N
JU PRE_LOOPEND
PRE_LOOPEND: L #REG0
T MB 100
L #REG1
T MB 101
L #REG2
T MB 102
+AR1 P#1.0
L #TEMP6
+ 1
T #TEMP6
JU LOOPEND
OPCODE_OTHER: L P#DBX 0.0
LAR1
L 0
T #TEMP6
TAR1 #POINTER
LOOPEND: TAR1 #POINTER
CLR
= #TEMP16
L #CHECK_N
L L#20
==I
S #TEMP16
L #COUNTER_N
==I
A #TEMP16
# Все проверки пройдены, если #CHECK_N == #COUNTER_N == 20
JC GOOD
L #CHECK_N
L L#20
<I
S #TEMP16
L #COUNTER_N
==I
A #TEMP16
JC FAIL
JU M019
GOOD: SET
= #PRE_RET_VAL
JU FINISH
FAIL: CLR
= #PRE_RET_VAL
JU FINISH
M019: CLR
O #PRE_RET_VAL
= #RET_VAL
JU LOOP
FINISH: CLR
O #PRE_RET_VAL
= #RET_VALלאחר שקיבלנו מושג על הוראות המכונה הוירטואלית, בוא נכתוב מפרק קטן כדי לנתח את קוד הבתים בבלוק DB100:
import string
alph = string.ascii_letters + string.digits
with open('DB100.bin', 'rb') as f:
m = f.read()
pc = 0
while pc < len(m):
op = m[pc]
if op == 1:
print('R{} = DB101[{}]'.format(m[pc + 2], m[pc + 1]))
pc += 3
elif op == 2:
c = chr(m[pc + 1])
c = c if c in alph else '?'
print('R{} = {:02x} ({})'.format(m[pc + 2], m[pc + 1], c))
pc += 3
elif op == 4:
print('R0 = 0; R{} = (R{} == R{})'.format(
m[pc + 1], m[pc + 1], m[pc + 2]))
pc += 3
elif op == 5:
print('R0 = 0; R{} = R{} - R{}'.format(
m[pc + 1], m[pc + 1], m[pc + 2]))
pc += 3
elif op == 6:
print('CHECK (R{} == R{})n'.format(
m[pc + 1], m[pc + 2]))
pc += 3
else:
print('unk opcode {}'.format(op))
breakכתוצאה מכך, אנו מקבלים את קוד המחשב הווירטואלי הבא:
קוד מכונה וירטואלית
R1 = DB101[0]
R2 = 6e (n)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[1]
R2 = 10 (?)
R0 = 0; R1 = R1 - R2
R2 = 20 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[2]
R2 = 77 (w)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[3]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[4]
R2 = 75 (u)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[5]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[6]
R2 = 34 (4)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[7]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[8]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[9]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[10]
R2 = 37 (7)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[11]
R2 = 22 (?)
R0 = 0; R1 = R1 - R2
R2 = 46 (F)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[12]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[13]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[14]
R2 = 6d (m)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[15]
R2 = 11 (?)
R0 = 0; R1 = R1 - R2
R2 = 23 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[16]
R2 = 35 (5)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[17]
R2 = 12 (?)
R0 = 0; R1 = R1 - R2
R2 = 25 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[18]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[19]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)כפי שאתה יכול לראות, תוכנית זו פשוט בודקת כל תו מ-DB101 עבור שוויון לערך מסוים. השורה האחרונה למעבר כל המחאות היא: n0w u 4r3 7h3 m4573r. אם הקו הזה ממוקם בבלוק DB101, אזי מופעלת בקרת PLC ידנית וניתן יהיה לפוצץ או לרוקן את הבלון.
זה הכל! אלכסיי הפגין רמת ידע גבוהה הראויה לנינג'ה תעשייתי :) שלחנו פרסים בלתי נשכחים לזוכה. תודה רבה לכל המשתתפים!
מקור: www.habr.com
