Industrial Ninja ၏ခြေရာများတွင်- Positive Hack Days 9 တွင် PLC ဟက်ခ်ခံရပုံ

ပြီးခဲ့သည့် PHDays 9 တွင် ကျွန်ုပ်တို့သည် ဓာတ်ငွေ့စုပ်စက်ရုံကို ဖောက်ဖျက်ရန် ပြိုင်ပွဲတစ်ခု ကျင်းပခဲ့သည်။ စက်မှု Ninja. တူညီသောစက်မှုလုပ်ငန်းစဉ်ကို အတုယူပြီး မတူညီသောလုံခြုံရေးကန့်သတ်ချက်များ (လုံခြုံရေးမရှိ၊ လုံခြုံရေးနိမ့်၊ မြင့်မားသောလုံခြုံရေး)၊ တူညီသောစက်မှုလုပ်ငန်းလုပ်ငန်းစဉ်ကို အတုယူပြီး- ဖိအားအောက်မှလေကို ပူဖောင်းထဲသို့ စုပ်ယူလိုက်သည် (ထို့နောက် ထွက်လာသည်)။

ကွဲပြားသော ဘေးကင်းရေး ကန့်သတ်ချက်များရှိသော်လည်း၊ မတ်တပ်ရပ်၏ ဟာ့ဒ်ဝဲဖွဲ့စည်းမှုမှာ အတူတူပင်ဖြစ်သည်- Siemens Simatic PLC S7-300 စီးရီး; အရေးပေါ် ဖောင်းပွမှုခလုတ်နှင့် ဖိအားတိုင်းကိရိယာ (PLC ဒစ်ဂျစ်တယ် သွင်းအားစုများ (DI) သို့ ချိတ်ဆက်ထားသည်)။ ငွေကြေးဖောင်းပွမှုနှင့် လေထုညစ်ညမ်းမှုအတွက် လုပ်ဆောင်နေသော အဆို့ရှင်များ (PLC (DO) ၏ ဒစ်ဂျစ်တယ်အထွက်များနှင့် ချိတ်ဆက်ထားသည်) - အောက်ဖော်ပြပါပုံကို ကြည့်ပါ။

PLC သည် ဖိအားဖတ်ခြင်းအပေါ်မူတည်ပြီး ၎င်း၏ပရိုဂရမ်နှင့်အညီ ဘောလုံးကို မကျေမနပ်ဖြစ်စေရန် သို့မဟုတ် ဖောင်းကားရန် ဆုံးဖြတ်ချက်ချခဲ့သည် (သက်ဆိုင်ရာအဆို့ရှင်များကို အဖွင့်အပိတ်) ပြုလုပ်ခဲ့သည်။ သို့သော်၊ နေရာအားလုံးတွင် ကန့်သတ်ချက်မရှိဘဲ အဆို့ရှင်များ၏ အခြေအနေများကို ထိန်းချုပ်နိုင်စေသည့် Manual Control Mode ပါရှိသည်။

ဤမုဒ်ကိုဖွင့်ခြင်း၏ ရှုပ်ထွေးမှုတွင် ရပ်တည်ချက်များသည် ကွဲပြားသည်- အကာအကွယ်မဲ့ ရပ်တည်ချက်တွင် ၎င်းကို ပြုလုပ်ရန် အလွယ်ကူဆုံးဖြစ်ပြီး လုံခြုံရေး မြင့်မားသော ရပ်တည်မှုတွင် ၎င်းသည် တူညီစွာ ပိုမိုခက်ခဲသည်။

ပြဿနာခြောက်ခုအနက် ငါးခုကို နှစ်ရက်အတွင်း ဖြေရှင်းနိုင်ခဲ့သည်။ ပထမနေရာမှ ပါဝင်သူသည် 233 မှတ် ရရှိခဲ့သည် (သူသည် ပြိုင်ပွဲအတွက် ပြင်ဆင်နေသည်မှာ တစ်ပတ်ကြာသည်)။ ကံထူးရှင် သုံးဦး- ငါနေရာ - a1exdandy၊ II - Rubikoid၊ III - Ze။

သို့သော်လည်း၊ PHDays ကာလအတွင်း၊ ရပ်တည်ချက် သုံးခုစလုံးကို ပါဝင်သူ မည်သူမျှ မကျော်လွှားနိုင်ခဲ့သောကြောင့် အွန်လိုင်းပြိုင်ပွဲတစ်ခု ပြုလုပ်ပြီး အခက်ခဲဆုံးအလုပ်တစ်ခုကို ဇွန်လအစောပိုင်းတွင် ထုတ်ပြန်ရန် ဆုံးဖြတ်ခဲ့သည်။ ပါဝင်သူများသည် တစ်လအတွင်း လုပ်ငန်းတာဝန်ကို ပြီးမြောက်ရန်၊ အလံကိုရှာဖွေကာ အဖြေကို အသေးစိတ်နှင့် စိတ်ဝင်စားဖွယ်နည်းလမ်းဖြင့် ဖော်ပြရမည်ဖြစ်သည်။

ဖြတ်တောက်မှုအောက်တွင် ကျွန်ုပ်တို့သည် တစ်လအတွင်း ပေးပို့သူများထံမှ အလုပ်အတွက် အကောင်းဆုံးဖြေရှင်းနည်းကို ခွဲခြမ်းစိတ်ဖြာပြီး PHDays ကာလအတွင်း ယှဉ်ပြိုင်မှုတွင် ပထမနေရာရရှိခဲ့သော Digital Security ကုမ္ပဏီမှ Alexey Kovrizhnykh (a1exdandy) မှ တွေ့ရှိခဲ့သည်။ အောက်တွင် ကျွန်ုပ်တို့၏ မှတ်ချက်များနှင့်အတူ ၎င်း၏စာသားကို ကျွန်ုပ်တို့တင်ပြပါသည်။

ကနဦးပိုင်းခြားစိတ်ဖြာခြင်း။

ထို့ကြောင့်၊ အလုပ်တွင် အောက်ပါဖိုင်များပါရှိသော မှတ်တမ်းတစ်ခုပါရှိသည်-

• block_upload_traffic.pcapng
• DB100.bin
• အရိပ်အမြွက်.txt

hints.txt ဖိုင်တွင် အလုပ်ဖြေရှင်းရန် လိုအပ်သော အချက်အလက်နှင့် အရိပ်အမြွက်များ ပါရှိသည်။ ဤတွင် ၎င်း၏ အကြောင်းအရာများ

1. သင်သည် PlcSim မှလုပ်ကွက်များကို Step7 သို့တင်နိုင်သည်ဟု Petrovich ကမနေ့ကပြောခဲ့သည်။
2. Siemens Simatic S7-300 စီးရီး PLC ကို မတ်တပ်ရပ်တွင် အသုံးပြုခဲ့သည်။
3. PlcSim သည် Siemens S7 PLCs အတွက် ပရိုဂရမ်များကို လုပ်ဆောင်ရန်နှင့် အမှားရှာပြင်ရန် ခွင့်ပြုသည့် PLC emulator တစ်ခုဖြစ်သည်။

DB100.bin ဖိုင်တွင် DB100 PLC ဒေတာပိတ်ဆို့ခြင်း- 00000000: 0100 0102 6e02 0401 0206 0100 0101 0102 ....n......... 00000010: 1002 0501 ၀၁၀၂။ ..... ......... 0202: 2002 0501 0206 0100 0102 00000020 0102 7702a0401 ..w............. 0206: 0100 0103 0102 0 02 00000030 ................ 0501: 0202 1602 0501 0206 0100 0104 0102a00000040 7502 u............... 0401: 0206 0100 0105 0102 0 02 ၀၁၀၂ ၃၄၀၂............၄။ 0501: 00000050 0202 1602 0501 0206 0100 0106 0102 ............&...... 3402: 4c00000060 0401 0206 0100 0107 0102 .......... L. 2602 : 0501 0202 00000070 4 02a0501 0206 0100 0108 ................ 0102: 3302 0401 3 00000080a 0206 0100 0109 0102 .......... ၇။ 0a02: 0501 0202b 1602 00000090 0501 0206 0100 010......" .....F... 0102b3702: 0401 0206 7c........ 000000 0 0100 .... .. 010c0102: 2202d 0501 0202a4602 0501 000000 0 0206 0100 ................ 010d0102: 3302 0401e 0206 0100d3 000000 0 ...... .... 010e0102: 0 02 0501 0202 1602 0501 0206 000000 ...........#...... 0f0100: 010 0102 6 02 0401 0206 ..... ..... 0100: 010 000000 0 0102 1102 0501 0202 2302 ......%......... 0501: 0206 0100 000000 0 0110 0102..... .....&.3502:0401 0206 0100c0111 0102 5 00000100.......L......

အမည် အကြံပြုထားသည့်အတိုင်း၊ block_upload_traffic.pcapng ဖိုင်တွင် PLC သို့ ဘလောက်အပ်လုဒ်အသွားအလာ အမှိုက်ပုံတစ်ပုံပါရှိသည်။

ညီလာခံကာလအတွင်း ပြိုင်ဆိုင်မှုနေရာ၌ ဤအသွားအလာအမှိုက်ပုံသည် ရရှိရန် အနည်းငယ်ပိုခက်ခဲကြောင်း သတိပြုသင့်သည်။ ဒါကိုလုပ်ဖို့၊ TeslaSCADA2 အတွက် ပရောဂျက်ဖိုင်ထဲက script ကို နားလည်ဖို့ လိုအပ်ပါတယ်။ RC4 ကို အသုံးပြု၍ ကုဒ်ဝှက်ထားသော အမှိုက်ပုံသည် မည်သည့်နေရာတွင် ရှိကြောင်းနှင့် ၎င်းကို ကုဒ်ဝှက်ရန် မည်သည့်သော့ကို အသုံးပြုရမည်ကို သိရှိနားလည်နိုင်မည်ဖြစ်သည်။ S7 ပရိုတိုကောကလိုင်းယင့်ကို အသုံးပြု၍ ဆိုက်ပေါ်ရှိ ဒေတာပိတ်ဆို့ထားသော စွန့်ပစ်ပစ္စည်းများကို ရယူနိုင်သည်။ ၎င်းအတွက် ကျွန်ုပ်သည် Snap7 ပက်ကေ့ဂျ်မှ သရုပ်ပြ client ကို အသုံးပြုခဲ့သည်။

အသွားအလာ အမှိုက်ပုံမှ အချက်ပြလုပ်ဆောင်ခြင်း ပိတ်ဆို့ခြင်းများကို ထုတ်ယူခြင်း။

အမှိုက်ပုံကြီး၏ အကြောင်းအရာများကို ကြည့်ခြင်းအားဖြင့် ၎င်းတွင် အချက်ပြလုပ်ဆောင်ခြင်း တုံးများ OB1၊ FC1၊ FC2 နှင့် FC3 တို့ပါရှိသည်ကို သင်နားလည်နိုင်သည်-

ဤတုံးများကို ဖယ်ရှားရမည်။ ဥပမာအားဖြင့်၊ ယခင်က လမ်းကြောင်းကို pcapng ဖော်မတ်မှ pcap သို့ ပြောင်းလဲပြီး အောက်ပါ script ဖြင့် လုပ်ဆောင်နိုင်သည်။

#!/usr/bin/env python2

import struct
from scapy.all import *

packets = rdpcap('block_upload_traffic.pcap')
s7_hdr_struct = '>BBHHHHBB'
s7_hdr_sz = struct.calcsize(s7_hdr_struct)
tpkt_cotp_sz = 7
names = iter(['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin'])
buf = ''

for packet in packets:
    if packet.getlayer(IP).src == '10.0.102.11':
        tpkt_cotp_s7 = str(packet.getlayer(TCP).payload)
        if len(tpkt_cotp_s7) < tpkt_cotp_sz + s7_hdr_sz:
            continue
        s7 = tpkt_cotp_s7[tpkt_cotp_sz:]
        s7_hdr = s7[:s7_hdr_sz]
        param_sz = struct.unpack(s7_hdr_struct, s7_hdr)[4]
        s7_param = s7[12:12+param_sz]
        s7_data = s7[12+param_sz:]
        if s7_param in ('x1ex00', 'x1ex01'):  # upload
            buf += s7_data[4:]
        elif s7_param == 'x1f':
            with open(next(names), 'wb') as f:
                f.write(buf)
            buf = ''

ရလဒ်များကို ဆန်းစစ်ပြီးပါက ၎င်းတို့သည် အမြဲတမ်း bytes 70 70 (pp) ဖြင့် စတင်သည်ကို သတိပြုမိပါလိမ့်မည်။ ယခုတွင် ၎င်းတို့အား ခွဲခြမ်းစိတ်ဖြာနည်းကို လေ့လာရန် လိုအပ်ပါသည်။ assignment အရိပ်အမြွက်က ၎င်းအတွက် PlcSim ကို အသုံးပြုရန် လိုအပ်ကြောင်း အကြံပြုထားသည်။

ဘလောက်များမှ လူသားဖတ်နိုင်သော ညွှန်ကြားချက်များ ရယူခြင်း။

ပထမဦးစွာ၊ Simatic Manager ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ အထပ်ထပ် ညွှန်ကြားချက်များ (= Q 7) ဖြင့် အတုံးများစွာကို S0.0-PlcSim ပရိုဂရမ်ထည့်သွင်းပြီး ၎င်းတွင်ရရှိသော PLC ကို example.plc ဖိုင်သို့ သိမ်းဆည်းခြင်းဖြင့် ကြိုးပမ်းကြပါစို့။ ဖိုင်၏အကြောင်းအရာများကိုကြည့်ရှုခြင်းဖြင့်၊ အစောပိုင်းတွင်ရှာဖွေတွေ့ရှိခဲ့သော လက်မှတ် 70 70 ဖြင့် ဒေါင်းလုဒ်လုပ်ကွက်များ၏အစကို အလွယ်တကူဆုံးဖြတ်နိုင်သည်။ ဘလောက်များရှေ့တွင်၊ ဘလောက်အရွယ်အစားကို 4-byte အဆုံးတန်ဖိုးအဖြစ် ရေးထားသည်။

plc ဖိုင်များဖွဲ့စည်းပုံနှင့်ပတ်သက်သည့် အချက်အလက်ကို ကျွန်ုပ်တို့လက်ခံရရှိပြီးနောက်၊ PLC S7 ပရိုဂရမ်များကိုဖတ်ရှုရန်အတွက် အောက်ပါလုပ်ဆောင်ချက်အစီအစဉ်သည် ပေါ်လာသည်-

1. Simatic Manager ကိုအသုံးပြု၍ ကျွန်ုပ်တို့သည် အမှိုက်ပုံမှရရှိသော S7-PlcSim တွင် ပိတ်ဆို့ဖွဲ့စည်းပုံကို ဖန်တီးပါသည်။ ဘလောက်အရွယ်အစားများသည် တူညီရပါမည် (လုပ်ကွက်များကို လိုအပ်သော ညွှန်ကြားချက်အရေအတွက်ဖြင့် ဖြည့်သွင်းခြင်းဖြင့် အောင်မြင်သည်) နှင့် ၎င်းတို့၏ ခွဲခြားသတ်မှတ်မှုများ (OB1၊ FC1၊ FC2၊ FC3)။
2. PLC ကို ဖိုင်တစ်ခုတွင် သိမ်းဆည်းပါ။
3. ကျွန်ုပ်တို့သည် ရလာဒ်ဖိုင်ရှိ ဘလောက်များပါရှိသော အကြောင်းအရာများကို traffic dump မှ ဘလောက်များဖြင့် အစားထိုးပါသည်။ လုပ်ကွက်များ၏အစကို လက်မှတ်ဖြင့် ဆုံးဖြတ်သည်။
4. ကျွန်ုပ်တို့သည် ရရှိလာသောဖိုင်ကို S7-PlcSim တွင်တင်ပြီး Simatic Manager ရှိ ပိတ်ဆို့ထားသောအကြောင်းအရာများကို ကြည့်ရှုပါ။

Blocks များကို ဥပမာအားဖြင့် အောက်ပါကုဒ်ဖြင့် အစားထိုးနိုင်ပါသည်။

with open('original.plc', 'rb') as f:
    plc = f.read()
blocks = []
for fname in ['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin']:
    with open(fname, 'rb') as f:
        blocks.append(f.read())

i = plc.find(b'pp')
for block in blocks:
    plc = plc[:i] + block + plc[i+len(block):]
    i = plc.find(b'pp', i + 1)

with open('target.plc', 'wb') as f:
    f.write(plc)

Alexey သည် ပို၍ခက်ခဲသော်လည်း မှန်ကန်သောလမ်းကြောင်းကို လျှောက်လှမ်းခဲ့သည်။ ပါဝင်သူများသည် NetToPlcSim ပရိုဂရမ်ကို အသုံးပြုပြီး PlcSim သည် ကွန်ရက်ပေါ်တွင် ဆက်သွယ်နိုင်စေရန်၊ Snap7 မှတစ်ဆင့် PlcSim သို့ ဘလောက်များကို အပ်လုဒ်လုပ်ကာ ဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်ကို အသုံးပြု၍ PlcSim မှ ပရောဂျက်တစ်ခုအဖြစ် ဤလုပ်ကွက်များကို ဒေါင်းလုဒ်လုပ်ရန် ကျွန်ုပ်တို့ ယူဆပါသည်။

S7-PlcSim တွင် ရရှိလာသော ဖိုင်ကိုဖွင့်ခြင်းဖြင့်၊ သင်သည် Simmatic Manager ကို အသုံးပြု၍ ရေးထားသော တုံးများကို ဖတ်နိုင်သည်။ ပင်မစက်ပစ္စည်းထိန်းချုပ်မှုလုပ်ဆောင်ချက်များကို block FC1 တွင်မှတ်တမ်းတင်ထားသည်။ အထူးသတိပြုရမည့်အချက်မှာ ဖွင့်လိုက်သောအခါတွင် PLC ထိန်းချုပ်မှုအား M0 နှင့် M2.2 ဘစ်မှတ်ဉာဏ်တန်ဖိုးများပေါ်တွင် အခြေခံ၍ PLC ထိန်းချုပ်မှုအား manual mode သို့ သတ်မှတ်ပေးသည့် #TEMP2.3 variable ဖြစ်သည်။ #TEMP0 တန်ဖိုးကို function FC3 မှ သတ်မှတ်သည်။

ပြဿနာကိုဖြေရှင်းရန်၊ သင်သည် FC3 လုပ်ဆောင်ချက်ကို ပိုင်းခြားစိတ်ဖြာပြီး ယုတ္တိတစ်ခုပြန်ဖြစ်လာစေရန် လုပ်ဆောင်ရမည့်အရာများကို နားလည်ရန် လိုအပ်သည်။

ပြိုင်ဆိုင်မှုဆိုက်ရှိ Low Security stand ရှိ PLC signal processing blocks များကို အလားတူနည်းလမ်းဖြင့် စီစဉ်ပေးခဲ့သော်လည်း #TEMP0 variable ၏တန်ဖိုးကို သတ်မှတ်ရန်အတွက်၊ DB1 block တွင် ကျွန်ုပ်၏နင်ဂျာနည်းလမ်းကို DB7 ဘလော့တွင် ရေးရန် လုံလောက်ပါသည်။ block တစ်ခုရှိ တန်ဖိုးကို စစ်ဆေးခြင်းသည် ရိုးရှင်းပြီး block programming language ၏ နက်နဲသော အသိပညာ မလိုအပ်ပါ။ ထင်ရှားသည်မှာ၊ လုံခြုံရေးအဆင့်တွင်၊ manual control ကိုရရှိရန်မှာ ပို၍ခက်ခဲမည်ဖြစ်ပြီး STL ဘာသာစကား၏ ရှုပ်ထွေးမှုများ (SXNUMX PLC ကို ပရိုဂရမ်ပြုလုပ်ရန် နည်းလမ်းများထဲမှတစ်ခု) ကို နားလည်ရန် လိုအပ်ပါသည်။

ပြောင်းပြန်ပိတ်ဆို့ FC3

STL ကိုယ်စားပြုမှုတွင် FC3 ဘလောက်၏ အကြောင်းအရာများ-

      L     B#16#0
      T     #TEMP13
      T     #TEMP15
      L     P#DBX 0.0
      T     #TEMP4
      CLR   
      =     #TEMP14
M015: L     #TEMP4
      LAR1  
      OPN   DB   100
      L     DBLG
      TAR1  
      <=D   
      JC    M016
      L     DW#16#0
      T     #TEMP0
      L     #TEMP6
      L     W#16#0
      <>I   
      JC    M00d
      L     P#DBX 0.0
      LAR1  
M00d: L     B [AR1,P#0.0]
      T     #TEMP5
      L     W#16#1
      ==I   
      JC    M007
      L     #TEMP5
      L     W#16#2
      ==I   
      JC    M008
      L     #TEMP5
      L     W#16#3
      ==I   
      JC    M00f
      L     #TEMP5
      L     W#16#4
      ==I   
      JC    M00e
      L     #TEMP5
      L     W#16#5
      ==I   
      JC    M011
      L     #TEMP5
      L     W#16#6
      ==I   
      JC    M012
      JU    M010
M007: +AR1  P#1.0
      L     P#DBX 0.0
      LAR2  
      L     B [AR1,P#0.0]
      L     C#8
      *I    
      +AR2  
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      JL    M003
      JU    M001
      JU    M002
      JU    M004
M003: JU    M005
M001: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #TEMP0
      JU    M006
M002: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #TEMP1
      JU    M006
M004: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #TEMP2
      JU    M006
M00f: +AR1  P#1.0
      L     B [AR1,P#0.0]
      L     C#8
      *I    
      T     #TEMP11
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      TAR1  #TEMP4
      OPN   DB   101
      L     P#DBX 0.0
      LAR1  
      L     #TEMP11
      +AR1  
      LAR2  #TEMP9
      L     B [AR2,P#0.0]
      T     B [AR1,P#0.0]
      L     #TEMP4
      LAR1  
      JU    M006
M008: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP3
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      JL    M009
      JU    M00b
      JU    M00a
      JU    M00c
M009: JU    M005
M00b: L     #TEMP3
      T     #TEMP0
      JU    M006
M00a: L     #TEMP3
      T     #TEMP1
      JU    M006
M00c: L     #TEMP3
      T     #TEMP2
      JU    M006
M00e: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10
      TAR1  #TEMP4
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      AW    
      INVI  
      T     #TEMP12
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      OW    
      L     #TEMP12
      AW    
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #TEMP0
      L     MB   101
      T     #TEMP1
      L     MB   102
      T     #TEMP2
      L     #TEMP4
      LAR1  
      JU    M006
M011: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10
      TAR1  #TEMP4
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      -I    
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #TEMP0
      L     MB   101
      T     #TEMP1
      L     MB   102
      T     #TEMP2
      L     #TEMP4
      LAR1  
      JU    M006
M012: L     #TEMP15
      INC   1
      T     #TEMP15
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10
      TAR1  #TEMP4
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      ==I   
      JCN   M013
      JU    M014
M013: L     P#DBX 0.0
      LAR1  
      T     #TEMP4
      L     B#16#0
      T     #TEMP6
      JU    M006
M014: L     #TEMP4
      LAR1  
      L     #TEMP13
      L     L#1
      +I    
      T     #TEMP13
      JU    M006
M006: L     #TEMP0
      T     MB   100
      L     #TEMP1
      T     MB   101
      L     #TEMP2
      T     MB   102
      +AR1  P#1.0
      L     #TEMP6
      +     1
      T     #TEMP6
      JU    M005
M010: L     P#DBX 0.0
      LAR1  
      L     0
      T     #TEMP6
      TAR1  #TEMP4
M005: TAR1  #TEMP4
      CLR   
      =     #TEMP16
      L     #TEMP13
      L     L#20
      ==I   
      S     #TEMP16
      L     #TEMP15
      ==I   
      A     #TEMP16
      JC    M017
      L     #TEMP13
      L     L#20
      <I    
      S     #TEMP16
      L     #TEMP15
      ==I   
      A     #TEMP16
      JC    M018
      JU    M019
M017: SET   
      =     #TEMP14
      JU    M016
M018: CLR   
      =     #TEMP14
      JU    M016
M019: CLR   
      O     #TEMP14
      =     #RET_VAL
      JU    M015
M016: CLR   
      O     #TEMP14
      =     #RET_VAL

ကုဒ်သည် အလွန်ရှည်လျားပြီး STL နှင့် မရင်းနှီးသူအတွက် ရှုပ်ထွေးပုံရသည်။ ဤဆောင်းပါး၏ဘောင်အတွင်း ညွှန်ကြားချက်တစ်ခုစီကို ခွဲခြမ်းစိတ်ဖြာရန် အဓိပ္ပါယ်မရှိပါ၊ STL ဘာသာစကား၏ အသေးစိတ်ညွှန်ကြားချက်များနှင့် လုပ်ဆောင်နိုင်စွမ်းများကို သက်ဆိုင်ရာလက်စွဲစာအုပ်တွင် တွေ့ရှိနိုင်သည်- S7-300 နှင့် S7-400 ပရိုဂရမ်ရေးသားခြင်းအတွက် ထုတ်ပြန်ချက်စာရင်း (STL). ဤနေရာတွင် ကျွန်ုပ်လုပ်ဆောင်ပြီးနောက် တူညီသောကုဒ်ကို တင်ပြပါမည် - အညွှန်းများနှင့် ကိန်းရှင်များကို အမည်ပြောင်းခြင်းနှင့် လုပ်ဆောင်ချက် အယ်လဂိုရီသမ်နှင့် အချို့သော STL ဘာသာစကား တည်ဆောက်မှုများကို ဖော်ပြသည့် မှတ်ချက်များ ပေါင်းထည့်ခြင်း။ မေးခွန်းထုတ်ထားသော ဘလောက်တွင် DB100 ဘလောက်တွင်ရှိသော ဘိုက်ကုဒ်အချို့ကို လုပ်ဆောင်သည့် virtual machine တစ်ခုပါရှိသည်ကို ကျွန်ုပ်ချက်ချင်း သတိပြုပါ။ Virtual machine လမ်းညွှန်ချက်များတွင် လည်ပတ်ကုဒ် 1 byte နှင့် argument များ၏ bytes ၊ argument တစ်ခုစီအတွက် one byte ပါဝင်သည်။ ထည့်သွင်းစဉ်းစားထားသော ညွှန်ကြားချက်အားလုံးတွင် အငြင်းအခုံနှစ်ခုရှိသည်၊ ကျွန်ုပ်သည် ၎င်းတို့၏တန်ဖိုးများကို မှတ်ချက်များတွင် X နှင့် Y အဖြစ် သတ်မှတ်ခဲ့သည်။

လုပ်ဆောင်ပြီးနောက် ကုဒ်]

# Инициализация различных переменных
      L     B#16#0
      T     #CHECK_N        # Счетчик успешно пройденных проверок
      T     #COUNTER_N      # Счетчик общего количества проверок
      L     P#DBX 0.0
      T     #POINTER        # Указатель на текущую инструкцию
      CLR   
      =     #PRE_RET_VAL

# Основной цикл работы интерпретатора байт-кода
LOOP: L     #POINTER
      LAR1  
      OPN   DB   100
      L     DBLG
      TAR1  
      <=D                   # Проверка выхода указателя за пределы программы
      JC    FINISH
      L     DW#16#0
      T     #REG0
      L     #TEMP6
      L     W#16#0
      <>I   
      JC    M00d
      L     P#DBX 0.0
      LAR1  

# Конструкция switch - case для обработки различных опкодов
M00d: L     B [AR1,P#0.0]
      T     #OPCODE
      L     W#16#1
      ==I   
      JC    OPCODE_1
      L     #OPCODE
      L     W#16#2
      ==I   
      JC    OPCODE_2
      L     #OPCODE
      L     W#16#3
      ==I   
      JC    OPCODE_3
      L     #OPCODE
      L     W#16#4
      ==I   
      JC    OPCODE_4
      L     #OPCODE
      L     W#16#5
      ==I   
      JC    OPCODE_5
      L     #OPCODE
      L     W#16#6
      ==I   
      JC    OPCODE_6
      JU    OPCODE_OTHER

# Обработчик опкода 01: загрузка значения из DB101[X] в регистр Y
# OP01(X, Y): REG[Y] = DB101[X]
OPCODE_1: +AR1  P#1.0
      L     P#DBX 0.0
      LAR2  
      L     B [AR1,P#0.0]   # Загрузка аргумента X (индекс в DB101)
      L     C#8
      *I    
      +AR2  
      +AR1  P#1.0
      L     B [AR1,P#0.0]   # Загрузка аргумента Y (индекс регистра)
      JL    M003            # Аналог switch - case на основе значения Y
      JU    M001            # для выбора необходимого регистра для записи.
      JU    M002            # Подобные конструкции используются и в других
      JU    M004            # операциях ниже для аналогичных целей
M003: JU    LOOPEND
M001: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #REG0           # Запись значения DB101[X] в REG[0]
      JU    PRE_LOOPEND
M002: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #REG1           # Запись значения DB101[X] в REG[1]
      JU    PRE_LOOPEND
M004: OPN   DB   101
      L     B [AR2,P#0.0]
      T     #REG2           # Запись значения DB101[X] в REG[2]
      JU    PRE_LOOPEND

# Обработчик опкода 02: загрузка значения X в регистр Y
# OP02(X, Y): REG[Y] = X
OPCODE_2: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP3
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      JL    M009
      JU    M00b
      JU    M00a
      JU    M00c
M009: JU    LOOPEND
M00b: L     #TEMP3
      T     #REG0
      JU    PRE_LOOPEND
M00a: L     #TEMP3
      T     #REG1
      JU    PRE_LOOPEND
M00c: L     #TEMP3
      T     #REG2
      JU    PRE_LOOPEND

# Опкод 03 не используется в программе, поэтому пропустим его
...

# Обработчик опкода 04: сравнение регистров X и Y
# OP04(X, Y): REG[0] = 0; REG[X] = (REG[X] == REG[Y])
OPCODE_4: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7          # первый аргумент - X
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9          # REG[X]
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10         # REG[Y]
      TAR1  #POINTER
      LAR1  #TEMP9          # REG[X]
      LAR2  #TEMP10         # REG[Y]
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      AW    
      INVI  
      T     #TEMP12         # ~(REG[Y] & REG[X])
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      OW    
      L     #TEMP12
      AW                    # (~(REG[Y] & REG[X])) & (REG[Y] | REG[X]) - аналог проверки на равенство
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #REG0
      L     MB   101
      T     #REG1
      L     MB   102
      T     #REG2
      L     #POINTER
      LAR1  
      JU    PRE_LOOPEND

# Обработчик опкода 05: вычитание регистра Y из X
# OP05(X, Y): REG[0] = 0; REG[X] = REG[X] - REG[Y]
OPCODE_5: +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9          # REG[X]
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10         # REG[Y]
      TAR1  #POINTER
      LAR1  #TEMP9
      LAR2  #TEMP10
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      -I                    # ACCU1 = ACCU2 - ACCU1, REG[X] - REG[Y]
      T     B [AR1,P#0.0]
      L     DW#16#0
      T     #REG0
      L     MB   101
      T     #REG1
      L     MB   102
      T     #REG2
      L     #POINTER
      LAR1  
      JU    PRE_LOOPEND

# Обработчик опкода 06: инкремент #CHECK_N при равенстве регистров X и Y
# OP06(X, Y): #CHECK_N += (1 if REG[X] == REG[Y] else 0)
OPCODE_6: L     #COUNTER_N
      INC   1
      T     #COUNTER_N
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP7          #  REG[X]     
      L     P#M 100.0
      LAR2  
      L     #TEMP7
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP9          #  REG[X]  
      +AR1  P#1.0
      L     B [AR1,P#0.0]
      T     #TEMP8
      L     P#M 100.0
      LAR2  
      L     #TEMP8
      L     C#8
      *I    
      +AR2  
      TAR2  #TEMP10         # REG[Y]
      TAR1  #POINTER
      LAR1  #TEMP9          # REG[Y]
      LAR2  #TEMP10         # REG[X]
      L     B [AR1,P#0.0]
      L     B [AR2,P#0.0]
      ==I   
      JCN   M013
      JU    M014
M013: L     P#DBX 0.0
      LAR1  
      T     #POINTER
      L     B#16#0
      T     #TEMP6
      JU    PRE_LOOPEND
M014: L     #POINTER
      LAR1  
# Инкремент значения #CHECK_N
      L     #CHECK_N
      L     L#1
      +I    
      T     #CHECK_N
      JU    PRE_LOOPEND

PRE_LOOPEND: L     #REG0
      T     MB   100
      L     #REG1
      T     MB   101
      L     #REG2
      T     MB   102
      +AR1  P#1.0
      L     #TEMP6
      +     1
      T     #TEMP6
      JU    LOOPEND

OPCODE_OTHER: L     P#DBX 0.0
      LAR1  
      L     0
      T     #TEMP6
      TAR1  #POINTER

LOOPEND: TAR1  #POINTER
      CLR   
      =     #TEMP16
      L     #CHECK_N
      L     L#20
      ==I   
      S     #TEMP16
      L     #COUNTER_N
      ==I   
      A     #TEMP16
# Все проверки пройдены, если #CHECK_N == #COUNTER_N == 20
      JC    GOOD
      L     #CHECK_N
      L     L#20
      <I    
      S     #TEMP16
      L     #COUNTER_N
      ==I   
      A     #TEMP16
      JC    FAIL
      JU    M019
GOOD: SET   
      =     #PRE_RET_VAL
      JU    FINISH
FAIL: CLR   
      =     #PRE_RET_VAL
      JU    FINISH
M019: CLR   
      O     #PRE_RET_VAL
      =     #RET_VAL
      JU    LOOP
FINISH: CLR   
      O     #PRE_RET_VAL
      =     #RET_VAL

အတုအယောင်စက် ညွှန်ကြားချက်များကို အကြံဥာဏ်ရရှိပြီး DB100 ဘလောက်တွင် bytecode ကိုခွဲခြမ်းစိတ်ဖြာရန် အသေးစား disassembler တစ်ခုရေးလိုက်ကြပါစို့။

import string
alph = string.ascii_letters + string.digits

with open('DB100.bin', 'rb') as f:
    m = f.read()

pc = 0

while pc < len(m):
    op = m[pc]
    if op == 1:
        print('R{} = DB101[{}]'.format(m[pc + 2], m[pc + 1]))
        pc += 3
    elif op == 2:
        c = chr(m[pc + 1])
        c = c if c in alph else '?'
        print('R{} = {:02x} ({})'.format(m[pc + 2], m[pc + 1], c))
        pc += 3
    elif op == 4:
        print('R0 = 0; R{} = (R{} == R{})'.format(
            m[pc + 1], m[pc + 1], m[pc + 2]))
        pc += 3
    elif op == 5:
        print('R0 = 0; R{} = R{} - R{}'.format(
            m[pc + 1], m[pc + 1], m[pc + 2]))
        pc += 3
    elif op == 6:
        print('CHECK (R{} == R{})n'.format(
            m[pc + 1], m[pc + 2]))
        pc += 3
    else:
        print('unk opcode {}'.format(op))
        break

ရလဒ်အနေဖြင့်၊ ကျွန်ုပ်တို့သည် အောက်ပါ virtual machine code ကို ရရှိသည်-

စက်ကုဒ်အတု

R1 = DB101[0]
R2 = 6e (n)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[1]
R2 = 10 (?)
R0 = 0; R1 = R1 - R2
R2 = 20 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[2]
R2 = 77 (w)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[3]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[4]
R2 = 75 (u)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[5]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[6]
R2 = 34 (4)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[7]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[8]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[9]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[10]
R2 = 37 (7)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[11]
R2 = 22 (?)
R0 = 0; R1 = R1 - R2
R2 = 46 (F)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[12]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[13]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[14]
R2 = 6d (m)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[15]
R2 = 11 (?)
R0 = 0; R1 = R1 - R2
R2 = 23 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[16]
R2 = 35 (5)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[17]
R2 = 12 (?)
R0 = 0; R1 = R1 - R2
R2 = 25 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

R1 = DB101[18]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)

R1 = DB101[19]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)

သင်တွေ့မြင်ရသည့်အတိုင်း၊ ဤပရိုဂရမ်သည် DB101 မှ ဇာတ်ကောင်တစ်ခုစီကို တူညီသောတန်ဖိုးတစ်ခုအထိ သာတူညီမျှရှိစေရန် စစ်ဆေးသည်။ စစ်ဆေးမှုအားလုံးကို ကျော်ဖြတ်ရန်အတွက် နောက်ဆုံးစာကြောင်းမှာ n0w u 4r3 7h3 m4573r ဖြစ်သည်။ ဤလိုင်းကို block DB101 တွင်ထားရှိပါက၊ manual PLC ထိန်းချုပ်မှုကို အသက်သွင်းထားပြီး၊ ၎င်းသည် မီးပုံးပျံကို ပေါက်ကွဲရန် သို့မဟုတ် မကျေမနပ်ဖြစ်နိုင်မည်ဖြစ်သည်။


ဒါပါပဲ! Alexey သည် စက်မှုနင်ဂျာနှင့်ထိုက်တန်သော မြင့်မားသောအသိပညာကို သရုပ်ပြခဲ့သည် ပါဝင်သူအားလုံးကို ကျေးဇူးအများကြီးတင်ပါတယ်။

source: www.habr.com