На минулому PHDays 9 ми проводили змагання зі злому заводу з перекачування газу. . На майданчику було три стенди з різними параметрами безпеки (No Security, Low Security, High Security), що емулюють однаковий індустріальний процес: у повітряну кулю закачувалося (а потім спускалося) повітря під тиском.
Незважаючи на різні параметри безпеки, апаратний склад стендів був однаковим: ПЛК Siemens Simatic серії S7-300; кнопка аварійного здуву та прилад вимірювання тиску (під'єднані до цифрових входів ПЛК (DI)); клапани, що працюють на накачування та спуск повітря (під'єднані до цифрових виходів ПЛК (DO)) – див. малюнок нижче.
ПЛК, залежно від показань тиску і відповідно до своєї програми, приймав рішення про здув або надув кульки (відкривав і закривав відповідні клапани). Однак на всіх стендах було передбачено режим ручного керування, який давав можливість керувати станами клапанів без жодних обмежень.
Стенди відрізнялися складністю включення даного режиму: на незахищеному стенді зробити це було найпростіше, а на стенді High Security відповідно складніше.
За два дні було вирішено п'ять із шести завдань; учасник, який посів перше місце, заробив 233 бали (він витратив на підготовку до конкурсу тиждень). Трійка призерів: І місце - a1exdandy, II - Rubikoid, III - Ze.
Однак під час PHDays ніхто з учасників не зміг здолати всі три стенди, тому ми вирішили зробити онлайн-конкурс і на початку червня опублікували найскладніше завдання. Учасники мали за місяць виконати завдання, знайти прапор, докладно та цікаво описати рішення.
Під катом ми публікуємо розбір найкращого рішення завдання з надісланих за місяць, його знайшов Олексій Коврижних (a1exdandy) із компанії Digital Security, який посів І місце у конкурсі під час PHDays. Нижче ми наводимо його текст із нашими коментарями.
Початковий аналіз
Отже, у завданні був архів із файлами:
- block_upload_traffic.pcapng
- DB100.bin
- hints.txt
Файл hints.txt містить необхідні відомості та підказки для вирішення завдання. Ось його вміст:
- Петрович мені вчора розповів, що з PlcSim можна завантажити блоки у Step7.
- На стенді використовувався ПЛК Siemens Simatic серії S7-300.
- PlcSim – це емулятор ПЛК, що дозволяє виконувати та налагоджувати програми для ПЛК Siemens S7.
Файл DB100.bin, зважаючи на все, містить блок даних DB100 ПЛК: 00000000: 0100 0102 6e02 0401 0206 0100 0101 0102 ....n.......... 00000010:1002 0501 0202 2002 ...... ......... 0501: 0206 0100 0102 00000020 0102 7702 0401 0206a0100 ..w............. 0103: 0102 0 02 00000030 0501 0202 ................ 1602: 0501 0206 0100 0104 0102 00000040 7502a0401 0206 u............... 0100: 0105 0102 0 02 0501 00000050 0202 1602 ..............0501. 0206: 0100 0106 0102 3402 4 00000060 0401 0206. .. 0100: 0107 0102 2602 0501 0202a00000070 4 02 0501 ................ 0206: 0100 0108 0102 3302a 0401 3 00000080 .... 0206a0100: 0109 0102b 0 02 0501 0202 1602 00000090 ......".....F... 0501b0206: 0100 010 0102c 3702 0401 0206. ...... 7c000000: 0d 0100 010a0102 2202 0501 0202 4602 0501 ................ 000000d0: 0206 0100e 010 0102d3302 0401 0206 0100 ........ 3e000000: 0 010 0102 0 02 0501 0202 1602 ........#....... 0501f0206: 000000 0 0100 010 0102 .......... 6: 02 0401 0206 0100 010 000000 0 0102 ......%......... 1102: 0501 0202 2302 0501 0206 0100. ..........& 000000: 0 0110 0102c3502 0401 0206 0100 ....L.......
Судячи з назви, файл block_upload_traffic.pcapng містить дамп трафіку завантаження блоків на ПЛК.
Варто зазначити, що цей дамп трафіку на майданчику конкурсу під час конференції отримати було трохи складніше. Для цього необхідно було розібратися у скрипті із файлу проекту для TeslaSCADA2. З нього можна було зрозуміти, де знаходиться зашифрований за допомогою RC4 дамп і який ключ необхідно використовувати для розшифровки. Дампи блоків даних на майданчику можна отримати за допомогою клієнта протоколу S7. Я для цього використав демоклієнт із пакету Snap7.
Вилучення блоків обробки сигналу з дампа трафіку
Поглянувши на вміст дампа, можна зрозуміти, що в ньому передаються блоки обробки сигналу OB1, FC1, FC2 та FC3:
Потрібно витягти ці блоки. Це можна зробити, наприклад, наступним скриптом, попередньо сконвертувавши трафік з формату pcapng в pcap:
#!/usr/bin/env python2
import struct
from scapy.all import *
packets = rdpcap('block_upload_traffic.pcap')
s7_hdr_struct = '>BBHHHHBB'
s7_hdr_sz = struct.calcsize(s7_hdr_struct)
tpkt_cotp_sz = 7
names = iter(['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin'])
buf = ''
for packet in packets:
if packet.getlayer(IP).src == '10.0.102.11':
tpkt_cotp_s7 = str(packet.getlayer(TCP).payload)
if len(tpkt_cotp_s7) < tpkt_cotp_sz + s7_hdr_sz:
continue
s7 = tpkt_cotp_s7[tpkt_cotp_sz:]
s7_hdr = s7[:s7_hdr_sz]
param_sz = struct.unpack(s7_hdr_struct, s7_hdr)[4]
s7_param = s7[12:12+param_sz]
s7_data = s7[12+param_sz:]
if s7_param in ('x1ex00', 'x1ex01'): # upload
buf += s7_data[4:]
elif s7_param == 'x1f':
with open(next(names), 'wb') as f:
f.write(buf)
buf = ''Вивчивши отримані блоки, можна побачити, що вони починаються з байтів 70 70 (pp). Тепер слід навчитися їх аналізувати. Підказка до завдання наводить на думку, що для цього потрібно використовувати PlcSim.
Отримання людиночитаних інструкцій із блоків
Для початку спробуємо запрограмувати S7-PlcSim, завантаживши в нього кілька блоків з інструкціями (= Q 0.0), що повторюються, за допомогою ПЗ Simatic Manager, і збережемо отриманий в емуляторі PLC у файл example.plc. Подивившись вміст файлу, можна легко визначити початок завантажених блоків по сигнатурі 70 70, яку ми виявили раніше. Перед блоками, зважаючи на все, записаний розмір блоку у вигляді 4-байтового little-endian значення.
Після того, як ми отримали інформацію про структуру plc-файлів, з'явився наступний план дій для читання програм PLC S7:
- За допомогою Simatic Manager створюємо в S7-PlcSim структуру блоків, аналогічну до тієї, що ми отримали з дампа. Повинні збігатися розміри блоків (досягається за допомогою заповнення блоків необхідною кількістю інструкцій) та їх ідентифікатори (OB1, FC1, FC2, FC3).
- Зберігаємо PLC у файл.
- Замінюємо вміст блоків отриманому файлі на блоки з дампа трафіку. Початок блоків визначаємо за сигнатурою.
- Отриманий файл завантажуємо в S7-PlcSim та дивимося вміст блоків у Simatic Manager.
Заміну блоків можна зробити, наприклад, наступним кодом:
with open('original.plc', 'rb') as f:
plc = f.read()
blocks = []
for fname in ['OB1.bin', 'FC1.bin', 'FC2.bin', 'FC3.bin']:
with open(fname, 'rb') as f:
blocks.append(f.read())
i = plc.find(b'pp')
for block in blocks:
plc = plc[:i] + block + plc[i+len(block):]
i = plc.find(b'pp', i + 1)
with open('target.plc', 'wb') as f:
f.write(plc)Олексій пішов, можливо, більш складному, але все одно правильному шляху. Ми припускали, що учасники скористаються програмою NetToPlcSim, щоб з PlcSim можна було спілкуватися по мережі, завантажать блоки в PlcSim через Snap7, а потім завантажать ці блоки у вигляді проекту з PlcSim за допомогою середовища розробки.
Відкривши отриманий файл S7-PlcSim, можна прочитати перезаписані блоки за допомогою Simatic Manager. Основні функції керування пристроями записані у блоці FC1. Особливу увагу привертає змінна #TEMP0, при включенні якої, зважаючи на все, управління ПЛК переводиться в ручний режим на основі значень бітової пам'яті M2.2 і M2.3. Значення #TEMP0 встановлюється функцією FC3.
Для вирішення завдання необхідно проаналізувати функцію FC3 та зрозуміти, що потрібно зробити, щоб вона повернула логічну одиницю.
Блоки обробки сигналів ПЛК на стенді Low Security на майданчику конкурсу були влаштовані аналогічним чином, але для встановлення значення змінної #TEMP0 достатньо було написати рядок my ninja в блок DB1. Перевірка значення в блоці була зрозуміла і не вимагала глибоких знань мови програмування блоків. Очевидно, що на рівні High Security досягти ручного управління буде значно складніше і необхідно розбиратися в тонкощах мови STL (один із способів програмування ПЛК S7).
Реверс блоку FC3
Вміст блоку FC3 у STL поданні:
L B#16#0
T #TEMP13
T #TEMP15
L P#DBX 0.0
T #TEMP4
CLR
= #TEMP14
M015: L #TEMP4
LAR1
OPN DB 100
L DBLG
TAR1
<=D
JC M016
L DW#16#0
T #TEMP0
L #TEMP6
L W#16#0
<>I
JC M00d
L P#DBX 0.0
LAR1
M00d: L B [AR1,P#0.0]
T #TEMP5
L W#16#1
==I
JC M007
L #TEMP5
L W#16#2
==I
JC M008
L #TEMP5
L W#16#3
==I
JC M00f
L #TEMP5
L W#16#4
==I
JC M00e
L #TEMP5
L W#16#5
==I
JC M011
L #TEMP5
L W#16#6
==I
JC M012
JU M010
M007: +AR1 P#1.0
L P#DBX 0.0
LAR2
L B [AR1,P#0.0]
L C#8
*I
+AR2
+AR1 P#1.0
L B [AR1,P#0.0]
JL M003
JU M001
JU M002
JU M004
M003: JU M005
M001: OPN DB 101
L B [AR2,P#0.0]
T #TEMP0
JU M006
M002: OPN DB 101
L B [AR2,P#0.0]
T #TEMP1
JU M006
M004: OPN DB 101
L B [AR2,P#0.0]
T #TEMP2
JU M006
M00f: +AR1 P#1.0
L B [AR1,P#0.0]
L C#8
*I
T #TEMP11
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
TAR1 #TEMP4
OPN DB 101
L P#DBX 0.0
LAR1
L #TEMP11
+AR1
LAR2 #TEMP9
L B [AR2,P#0.0]
T B [AR1,P#0.0]
L #TEMP4
LAR1
JU M006
M008: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP3
+AR1 P#1.0
L B [AR1,P#0.0]
JL M009
JU M00b
JU M00a
JU M00c
M009: JU M005
M00b: L #TEMP3
T #TEMP0
JU M006
M00a: L #TEMP3
T #TEMP1
JU M006
M00c: L #TEMP3
T #TEMP2
JU M006
M00e: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
AW
INVI
T #TEMP12
L B [AR1,P#0.0]
L B [AR2,P#0.0]
OW
L #TEMP12
AW
T B [AR1,P#0.0]
L DW#16#0
T #TEMP0
L MB 101
T #TEMP1
L MB 102
T #TEMP2
L #TEMP4
LAR1
JU M006
M011: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
-I
T B [AR1,P#0.0]
L DW#16#0
T #TEMP0
L MB 101
T #TEMP1
L MB 102
T #TEMP2
L #TEMP4
LAR1
JU M006
M012: L #TEMP15
INC 1
T #TEMP15
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10
TAR1 #TEMP4
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
==I
JCN M013
JU M014
M013: L P#DBX 0.0
LAR1
T #TEMP4
L B#16#0
T #TEMP6
JU M006
M014: L #TEMP4
LAR1
L #TEMP13
L L#1
+I
T #TEMP13
JU M006
M006: L #TEMP0
T MB 100
L #TEMP1
T MB 101
L #TEMP2
T MB 102
+AR1 P#1.0
L #TEMP6
+ 1
T #TEMP6
JU M005
M010: L P#DBX 0.0
LAR1
L 0
T #TEMP6
TAR1 #TEMP4
M005: TAR1 #TEMP4
CLR
= #TEMP16
L #TEMP13
L L#20
==I
S #TEMP16
L #TEMP15
==I
A #TEMP16
JC M017
L #TEMP13
L L#20
<I
S #TEMP16
L #TEMP15
==I
A #TEMP16
JC M018
JU M019
M017: SET
= #TEMP14
JU M016
M018: CLR
= #TEMP14
JU M016
M019: CLR
O #TEMP14
= #RET_VAL
JU M015
M016: CLR
O #TEMP14
= #RET_VALКод досить об'ємний і людині, незнайомій із STL, може здатися складним. Розбирати кожну інструкцію в рамках цієї статті немає сенсу, детально з інструкціями та можливостями мови STL можна ознайомитись у відповідному мануалі: . Тут я наведу той самий код після обробки — перейменування міток та змінних та додавання коментарів, що описують алгоритм роботи та деякі конструкції мови STL. Відразу зазначу, що в блоці реалізована віртуальна машина, що виконує деякий байт-код, що знаходиться в блоці DB100, вміст якого нам відомо. Інструкції віртуальної машини є 1 байт операційного коду і байти аргументів, по одному байту на кожен аргумент. Всі розглянуті інструкції мають два аргументи, їх значення в коментарях я позначив як X і Y.
Код після обробки]
# Инициализация различных переменных
L B#16#0
T #CHECK_N # Счетчик успешно пройденных проверок
T #COUNTER_N # Счетчик общего количества проверок
L P#DBX 0.0
T #POINTER # Указатель на текущую инструкцию
CLR
= #PRE_RET_VAL
# Основной цикл работы интерпретатора байт-кода
LOOP: L #POINTER
LAR1
OPN DB 100
L DBLG
TAR1
<=D # Проверка выхода указателя за пределы программы
JC FINISH
L DW#16#0
T #REG0
L #TEMP6
L W#16#0
<>I
JC M00d
L P#DBX 0.0
LAR1
# Конструкция switch - case для обработки различных опкодов
M00d: L B [AR1,P#0.0]
T #OPCODE
L W#16#1
==I
JC OPCODE_1
L #OPCODE
L W#16#2
==I
JC OPCODE_2
L #OPCODE
L W#16#3
==I
JC OPCODE_3
L #OPCODE
L W#16#4
==I
JC OPCODE_4
L #OPCODE
L W#16#5
==I
JC OPCODE_5
L #OPCODE
L W#16#6
==I
JC OPCODE_6
JU OPCODE_OTHER
# Обработчик опкода 01: загрузка значения из DB101[X] в регистр Y
# OP01(X, Y): REG[Y] = DB101[X]
OPCODE_1: +AR1 P#1.0
L P#DBX 0.0
LAR2
L B [AR1,P#0.0] # Загрузка аргумента X (индекс в DB101)
L C#8
*I
+AR2
+AR1 P#1.0
L B [AR1,P#0.0] # Загрузка аргумента Y (индекс регистра)
JL M003 # Аналог switch - case на основе значения Y
JU M001 # для выбора необходимого регистра для записи.
JU M002 # Подобные конструкции используются и в других
JU M004 # операциях ниже для аналогичных целей
M003: JU LOOPEND
M001: OPN DB 101
L B [AR2,P#0.0]
T #REG0 # Запись значения DB101[X] в REG[0]
JU PRE_LOOPEND
M002: OPN DB 101
L B [AR2,P#0.0]
T #REG1 # Запись значения DB101[X] в REG[1]
JU PRE_LOOPEND
M004: OPN DB 101
L B [AR2,P#0.0]
T #REG2 # Запись значения DB101[X] в REG[2]
JU PRE_LOOPEND
# Обработчик опкода 02: загрузка значения X в регистр Y
# OP02(X, Y): REG[Y] = X
OPCODE_2: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP3
+AR1 P#1.0
L B [AR1,P#0.0]
JL M009
JU M00b
JU M00a
JU M00c
M009: JU LOOPEND
M00b: L #TEMP3
T #REG0
JU PRE_LOOPEND
M00a: L #TEMP3
T #REG1
JU PRE_LOOPEND
M00c: L #TEMP3
T #REG2
JU PRE_LOOPEND
# Опкод 03 не используется в программе, поэтому пропустим его
...
# Обработчик опкода 04: сравнение регистров X и Y
# OP04(X, Y): REG[0] = 0; REG[X] = (REG[X] == REG[Y])
OPCODE_4: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7 # первый аргумент - X
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9 # REG[X]
LAR2 #TEMP10 # REG[Y]
L B [AR1,P#0.0]
L B [AR2,P#0.0]
AW
INVI
T #TEMP12 # ~(REG[Y] & REG[X])
L B [AR1,P#0.0]
L B [AR2,P#0.0]
OW
L #TEMP12
AW # (~(REG[Y] & REG[X])) & (REG[Y] | REG[X]) - аналог проверки на равенство
T B [AR1,P#0.0]
L DW#16#0
T #REG0
L MB 101
T #REG1
L MB 102
T #REG2
L #POINTER
LAR1
JU PRE_LOOPEND
# Обработчик опкода 05: вычитание регистра Y из X
# OP05(X, Y): REG[0] = 0; REG[X] = REG[X] - REG[Y]
OPCODE_5: +AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9
LAR2 #TEMP10
L B [AR1,P#0.0]
L B [AR2,P#0.0]
-I # ACCU1 = ACCU2 - ACCU1, REG[X] - REG[Y]
T B [AR1,P#0.0]
L DW#16#0
T #REG0
L MB 101
T #REG1
L MB 102
T #REG2
L #POINTER
LAR1
JU PRE_LOOPEND
# Обработчик опкода 06: инкремент #CHECK_N при равенстве регистров X и Y
# OP06(X, Y): #CHECK_N += (1 if REG[X] == REG[Y] else 0)
OPCODE_6: L #COUNTER_N
INC 1
T #COUNTER_N
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP7 # REG[X]
L P#M 100.0
LAR2
L #TEMP7
L C#8
*I
+AR2
TAR2 #TEMP9 # REG[X]
+AR1 P#1.0
L B [AR1,P#0.0]
T #TEMP8
L P#M 100.0
LAR2
L #TEMP8
L C#8
*I
+AR2
TAR2 #TEMP10 # REG[Y]
TAR1 #POINTER
LAR1 #TEMP9 # REG[Y]
LAR2 #TEMP10 # REG[X]
L B [AR1,P#0.0]
L B [AR2,P#0.0]
==I
JCN M013
JU M014
M013: L P#DBX 0.0
LAR1
T #POINTER
L B#16#0
T #TEMP6
JU PRE_LOOPEND
M014: L #POINTER
LAR1
# Инкремент значения #CHECK_N
L #CHECK_N
L L#1
+I
T #CHECK_N
JU PRE_LOOPEND
PRE_LOOPEND: L #REG0
T MB 100
L #REG1
T MB 101
L #REG2
T MB 102
+AR1 P#1.0
L #TEMP6
+ 1
T #TEMP6
JU LOOPEND
OPCODE_OTHER: L P#DBX 0.0
LAR1
L 0
T #TEMP6
TAR1 #POINTER
LOOPEND: TAR1 #POINTER
CLR
= #TEMP16
L #CHECK_N
L L#20
==I
S #TEMP16
L #COUNTER_N
==I
A #TEMP16
# Все проверки пройдены, если #CHECK_N == #COUNTER_N == 20
JC GOOD
L #CHECK_N
L L#20
<I
S #TEMP16
L #COUNTER_N
==I
A #TEMP16
JC FAIL
JU M019
GOOD: SET
= #PRE_RET_VAL
JU FINISH
FAIL: CLR
= #PRE_RET_VAL
JU FINISH
M019: CLR
O #PRE_RET_VAL
= #RET_VAL
JU LOOP
FINISH: CLR
O #PRE_RET_VAL
= #RET_VALОтримавши уявлення про інструкції віртуальної машини, напишемо невеликий дизассемблер для аналізу байт-коду в блоці DB100:
import string
alph = string.ascii_letters + string.digits
with open('DB100.bin', 'rb') as f:
m = f.read()
pc = 0
while pc < len(m):
op = m[pc]
if op == 1:
print('R{} = DB101[{}]'.format(m[pc + 2], m[pc + 1]))
pc += 3
elif op == 2:
c = chr(m[pc + 1])
c = c if c in alph else '?'
print('R{} = {:02x} ({})'.format(m[pc + 2], m[pc + 1], c))
pc += 3
elif op == 4:
print('R0 = 0; R{} = (R{} == R{})'.format(
m[pc + 1], m[pc + 1], m[pc + 2]))
pc += 3
elif op == 5:
print('R0 = 0; R{} = R{} - R{}'.format(
m[pc + 1], m[pc + 1], m[pc + 2]))
pc += 3
elif op == 6:
print('CHECK (R{} == R{})n'.format(
m[pc + 1], m[pc + 2]))
pc += 3
else:
print('unk opcode {}'.format(op))
breakВ результаті отримаємо наступний код віртуальної машини:
Код віртуальної машини
R1 = DB101[0]
R2 = 6e (n)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[1]
R2 = 10 (?)
R0 = 0; R1 = R1 - R2
R2 = 20 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[2]
R2 = 77 (w)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[3]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[4]
R2 = 75 (u)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[5]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[6]
R2 = 34 (4)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[7]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[8]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[9]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[10]
R2 = 37 (7)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[11]
R2 = 22 (?)
R0 = 0; R1 = R1 - R2
R2 = 46 (F)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[12]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[13]
R2 = 0a (?)
R0 = 0; R1 = R1 - R2
R2 = 16 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[14]
R2 = 6d (m)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[15]
R2 = 11 (?)
R0 = 0; R1 = R1 - R2
R2 = 23 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[16]
R2 = 35 (5)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[17]
R2 = 12 (?)
R0 = 0; R1 = R1 - R2
R2 = 25 (?)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)
R1 = DB101[18]
R2 = 33 (3)
R0 = 0; R1 = (R1 == R2)
CHECK (R1 == R0)
R1 = DB101[19]
R2 = 26 (?)
R0 = 0; R1 = R1 - R2
R2 = 4c (L)
R0 = 0; R1 = R1 - R2
CHECK (R1 == R0)Як видно, дана програма просто перевіряє кожен символ із DB101 на рівність певного значення. Підсумковий рядок для проходження всіх перевірок: n0w u 4r3 7h3 m4573r. Якщо цей рядок помістити в блок DB101, то активується ручне управління ПЛК і можна буде підірвати або здути повітряну кулю.
От і все! Олексій продемонстрував високий рівень знань, гідний індустріального ніндзя 🙂 Переможцю ми надіслали пам'ятні призи. Дякую всім учасникам!
Джерело: habr.com
