Интересные и актуальные комментарии.
02.05.2011
Сброс установок на заводские значения С-2000 Болид
На случай утери пароля установщика предусмотрен механизм сброса установок пульта на заводские значения.
После осуществления сброса полностью очищается конфигурация пульта и буфер событий, все параметры принимают заводские значения, пароль установщика принимает заводское значение .
Внимание! Сброс установок возможен только при выключенной опции "ЗАПРЕТ СБРОСА" (меню "v5 НАСТРОЙКИ", подменю "v51 РЕЖИМ").
Заводская установка опции "ЗАПРЕТ СБРОСА" — "выключено".
Если возникнет необходимость запретить возможность сброса, то включите опцию "ЗАПРЕТ СБРОСА". Если будет утерян пароль установщика у пульта с включенной опцией "ЗАПРЕТ СБРОСА", восстановить заводское значение этого пароля можно только в НВП "Болид".
Для осуществления сброса на заводские установки необходимо включить пульт с нажатыми клавишами
"ON" и "PROG". На ЖКИ отобразится приглашение "СБРОСИТЬ ПАРОЛИ?". Отпустите клавиши "ON" и "PROG" и нажмите "ENTER" для подтверждения действия. Выйти из процедуры сброса установок можно нажатием "CLEAR".
После подтверждения действия включается задержка 20 мин, при этом на ЖКИ отображается, сколько времени осталось до сброса паролей. По истечении задержки 20 мин конфигурация пульта принимает заводское значение.
В период действия задержки сброс может быть отменен в любой момент нажатием клавиши "CLEAR".
Здравствуйте! В этой статье я подробно расскажу, как получить доступ к программным и аппаратным продуктам НПФ «Болид», закрытых паролями. Я инженер, а не программист и не электронщик, поэтому примененные здесь программно-аппаратные уловки (не лайф хаки, заметьте!), вероятно, не всем будут по нраву в виду их дилетантского подхода, но меня, как говорится, «жизнь заставила».
По специфике своей работы мне часто приходится сталкиваться с оборудованием НПФ «Болид» (пульты С2000 и С2000М) и ПО (Орион, Орион-ПРО), пароли от которых утеряны или «ушли» вместе с предыдущей обслуживающей организацией. Вскрытие ПО и баз данных через техподдержку «Болида» процесс вполне осуществимый, но долгий, а вот с пультами таких возможностей нет. Все, что предлагает производитель – это вернуть пульт к исходным заводским установкам с потерей существующей конфигурации, а зачастую стоимость работ по созданию новой конфигурации в десятки раз превышает стоимость пульта как такового из-за размеров объекта и/или утерянной проектной документации.
Для вскрытия паролей ПО нам понадобится HEX-вьювер и HEX/DEC калькулятор… Ленивые в конце статьи найдут ссылку на программу для выдачи паролей из баз (VB6, другим языком не владею). Для вскрытия пультов, соответственно, еще один пульт такого же типа (с «М» или без «М»), с заведомо известным паролем для в хода в режим программирования (версия пульта не важна), джампер (штука такая, которой CMOS сбрасывают и Master/Slave у IDE хардов выбирают) и в случае варианта с «М» — паяльник и несколько проводков.
Напоминаю, что несмотря на то, что прямых модификаций в базы данных мы вносить не будет, тем не менее, настоятельно рекомендую сделать архивные копии. Все может быть. Ну и на счет отсутствия моей ответственности за проведенные вами действия, думаю тоже понятно. Все на свой страх и риск.
АРМ «Орион»
Все настойки, пароли, права пользователей в АРМ «Орион» осуществляются через программу Администратор Базы Данных (далее АБД), но не зная пароля, запустить АБД невозможно, вот поиском этого пароля мы и займемся. В АРМ «Орион» пароли, коды, и прочие идентификаторы хранятся в файле pMark.DB находящимся в папке с базой данных. Откроем этот файл в HEX редакторе и найдем следующую последовательность (в вашем варианте имена скорее всего будут отличаться, но с вероятностью 99% Иванов будет на месте):
 <br />44-13=31 (49 в десятичной или знак «1») <br />76-44=32 (50 в десятичной или знак «2») <br />A9-76=33 (51 в десятичной или знак «3») <br />DD-A9=34 (52 в десятичной или знак «4») <br />12-DD= (если результат, как в этом случае меньше нуля, тогда прибавляем к результату &H100) т.е. 12-DD+100=35 (53 в десятичной или знак «5») <br />48-12= 36 (54 в десятичной или знак «6») <br />7F-48= 37 (55 в десятичной или знак «7») <br />B7-7F= 38 (56 в десятичной или знак «8») <br />F0-B7= 39 (57 в десятичной или знак «9») <br />20-F0= 30 (48 в десятичной или знак «0») тут результат снова меньше нуля, поэтому снова прибавляем &H100 <br />51-20= 31 (49 в десятичной или знак «1») <br />83-51= 32 (50 в десятичной или знак «2») <br />B6-83= 33 (51 в десятичной или знак «3») <br />EA-B6= 34 (52 в десятичной или знак «4») <br />1F-EA= 35 (53 в десятичной или знак «5) <br />55-1F= (54 в десятичной или знак «6») <br />8C-55= (55 в десятичной или знак «7») <br />C4-8C= (56 в десятичной или знак «8») <br />FD-C4= (57 в десятичной или знак «9»)</p><p>Наш пароль: «12345678890123456789».</p><p>Коды карт не шифруются, они просто записаны «задом на перед». Например карта Прошина И. Ф. записана как 08:12:24:43:95:78:67:11:12, т.е. длина кода 08 байт, код карты 12:11:67:78:95:43:24:12.</p><p>Обычный Орион победили, движемся дальше.</p><h4><b><u>АРМ «Орион-ПРО»</u></b></h4><p>Здесь все немного сложнее, так как пароль можно установить не только на запуск АБД, но так же и на запуск программ, и на управление сервером БД (пароль установщика).</p><p>Начнем с пароля на запуск программ:</p><p>Пароль для запуска программ хранится в реестре в следующей ветке: HKLMsoftwarewow6432nodebolidorioncsopasswordpasswordcr. Введите вместо существующего значения 016D34A5B664B2D8CD и пароль станет «1», или удалите значение совсем, тогда вообще пароля не будет.</p><p>Пароль установщика (Управление сервером БД):</p><p>Пароль храниться в реестре в следующей ветке: «HKCUsoftwareclassesvirtualstoremachinesoftwarewow6432nodebolidМенеджер сервера», в ключе PassDefault. Удалите ключ или задайте значение:A9:9E:BA:4A:DA:E3:BF:A9:8F:2C:C6:D9:14:56:BD:45. В любом из выбранных вариантов пароль станет стандартным — «73173100».</p><p>Разбираться, по какому алгоритму тут зашифрованы пароли – я не стал. Если не лень, вот варианты паролей и ХЕШей, пробуйте:</p><p>«qqqqqq» — F0:FB:45:CE:7A:0C:80:76:5F:08:E9:30:2C:EA:E0:F0 <br />«73173100» — A9:9E:BA:4A:DA:E3:BF:A9:8F:2C:C6:D9:14:56:BD:45 <br />«111111111» — 01:A0:52:A1:C2:EE:E9:54:41:6D:34:A5:B6:64:B2:D8:CD <br />«11111111» -8 — 00:A0:52:A1:C2:EE:E9:54:41 <br />«1111111» -7 — 07:1B:65:33:39:59:66:2A:3D <br />«111111» -6 — 06:B3:DC:5C:33:F1:53:0A:9B: <br />«1» — 01:6D:34:A5:B6:64:B2:D8:CD <br />«2» — 01:C4:50:32:82:23:FA:88:33</p><p>Пароль на запуск АБД:</p><p>Здесь так же все настойки, пароли, права пользователей и прочее-прочее осуществляются через программу АБД. В АРМ «Орион-ПРО» пароли, коды и прочие идентификаторы хранятся в файле с расширением MDF. Например, DEMOBASE.MDF, который находится в соответствующей папке.</p><p>Откроем этот файл в HEX редакторе. Ищем в теле файла фамилии с инициалами. Другие места, где фамилия без инициалов или имя-отчество полностью нас не интересуют. Там нет паролей.</p><p style=)
, а синим микросхема памяти – 24С512, содержимое которой нам и нужно прочитать.</p><p>Считываем конфигурацию следующим способом: берем пульт с известным паролем для входа в режим программирования, подключаем к компьютеру, переводим в «режим программирования», запускаем Uprog и пробуем считать конфигурацию. Читается? Отлично! Прерываем чтение, выдергиваем 24C512 и вставляем другую, которая из пульта с неизвестными паролями, считываем, наслаждаемся. Естественно в считанной конфигурации будут и пароли.</p><h4><b><u>Пульт C2000М</u></b></h4><p>С этой версией пульта несколько сложнее. Микросхем памяти две штуки, да еще и припаяны насмерть.</p><p>Нам понадобится два пульта. Один, из которого будем считывать конфигурацию с неизвестными паролями и второй, с помощью которого мы будем это делать. Пульт, с помощью которого будем считывать, придется немного модифицировать, работоспособность его полностью сохраниться, но товарный вид пострадает. Делать это или нет, выбор за вами. Пульт, из которого будем читать совершенно не пострадает, никаких следов вторжения не остается.</p><p>Пульт С2000М выглядит так (наклейки и защитный пластик сняты):</p><p style=)
, которыми мы и будем манипулировать. Способ считывания, точно такой же как и с С2000, только микросхемы тут не переставишь, а отпаивать/припаивать их совсем не хочется, поэтому давайте еще посмотрим на обратную сторону платы пульта:</p><p style=)
. <br />11. Проводки которые припаяны к пятакам, которые находятся ближе к микроконтроллеру прижимаем к таким же на пульте с неизвестными паролями. <br />12. Считываем конфигурацию.</p><p>Самое главное, в момент чтения не передвинуть проводки на соседние контакты, а то все может закончится не очень хорошо, поэтому для себя я модифицировал пульт более основательно. Расположил на свободном месте платы штырьки от компьютерной материнки 4х4 и к ним припаял провода. Когда установлены оба джампера, пульт в нормальном режиме, когда снимаю — в режиме чтения «чужой памяти».</p><p>Также для удобства изготовил такой провод: с одной стороны разъем (можно взять от компьютера которые идут на RESET, HDD LED, и т. д.), а с обратной припаял иголки. Использовать гораздо проще, надеваем разъем, прижимаем иглы к пятакам читаемого пульта — и все. Для еще большего удобства примотал иглы к карандашу с необходимым шагом.</p><p>К сожалению, фото модифицированного пульта приложить не могу. Монтажники по незнанию. В мое отсутствие взяли его и установили на объекте. Ехать забирать далеко, поэтому, как возникнет новая необходимость, сделаю себе еще один.</p><p>Да, и еще. Если в момент чтения убрать контакты с пятаков (не мудрено, М-ка читается минут 5-10, руки устают), чтение просто прекратится. Приложите снова — и все продолжиться с того же самого места.</p><p>В середине нулевых один мой друг устроился обслуживать ОПС в некой конторе. А там нежданчик — его предшественник увольнялся со скандалом и не оставил "длинный" пароль для С-2000/С-2000М.</p><p>Сбрасывать конфиг не вариант — половина документации в проё.е, для новичка топология и так не вся понятна, как потом набирать с нуля конфиг?</p><p>Но товарищ горевал недолго — вскрыл С2000-е, подпаял к биперу и к столбцам/строкам клавиатуры провода, на них подключил ответный разъём под LPT.</p><p>Чуть ли не на Бейсике сваял прогу.</p><p>Суть в том, — при true/false вводе пароля сигнал бипера различается: "пи-пи-пи" или просто "пи" (или вообще молча).</p><p>Прога набирала очередного кандидата в пароли и нюхала, что там на бипер пришло. Если "пи-пи-пи", то смена кандидата и продолжаем. Кандидаты сменялись не тупо инкрементом, а рандомом из диапазона 000000-999999.</p><p>Через пару-тройку часов пароль был известен.</p><div class=)