悦分享

之前我们详细分析了bootram和Vxworks的基本启动流程，这篇文章中我们把视线转到plc的网络部分，同时来复现我们第一个、第二个工控安全漏洞。

Vxworks操作系统是由美国WindRiverSystem公司开发的一套实时操作系统，Vxworks比起linux，有更好的实时性和可裁切性，公司可以根据自己的需求去定制化Vxworks，我们逆向的固件就是施耐德在Vxworks上进行的二次开发。在国防安全、工业化方面Vxworks占据了半壁江山，甚至连爱国者导弹都与Vxworks有关，可见其在工控领域的地位，但是，由于Vxworks目前几乎是没有任何的”纯新手“入门书籍，所以学习起来就较为困难，但是如果想要深入学习或者进行二次开发的话，可以参考官方的相。

在工控领域，我们会遇到许多协议，为了进行安全研究，经常需要对协议的具体内容进行探索，今天我们就来聊聊关于工控协议逆向的问题。接下来会简单介绍一下常用的协议逆向方法并配合一些实战，当然，从未知到已知的探索过程不仅仅需要代码上的实践，还需要数学上的分析与建模，所以在这几篇文章中不仅会有工控、协议的知识，还有大量的数学内容，因为我本身不是搞学术研究的，所以一些东西也只是略微了解而已。但不论是公开协议还是私有协议往往都具有一定的未知性。...

众所周知，PLC和DCS最大的区别就是扩展、监视系统，DCS的扩展系统十分强大，相比PLC要优越很多。过去SCADA+PLC=DCS，而如今，随着PLC的发展，高级PLC功能的完善，两之间者的区别越来越小，尤其是大型PLC，相互替代性越来越高了，而SCADA与二者是合作关系，但PLC与DCS还是不可相互取代。独立过程控制整个工厂控制提供不同设备、不同区域、不同厂房通讯、数据采集、监视控制比DCS & SCADA快比SCADA快比DCS慢根据项目需求所有的单元都通过网络集成。

AdvanTrol-Pro 软件包可分成两大部分，一部分为系统组态软件，包括：用户授权管理软件（SCReg）、系统组态软件（SCKey）、图形化编程软件（SCControl）、语言编程软件（SCLang）、流程图制作软件（SCDrawEx）、报表制作软件（SCFormEx）、二次计算组态软件（SCTask）、ModBus协议外部数据组态软件（AdvMBLink）等等；

1. MACS系统网络架构如下图所示，系统网络架构从上至下由管理网（MNET）、系统网（SNET）、控制网（CNET）三层构成。管理网为可选网络层，用于和厂级生产管理系统如MES、第三方管理软件等进行通讯，并可通过INTERNET实现安全的信息发布，实现数据的高级管理和共享。

1. 系统简介HOLLiAS MACS-K 系统基于国际标准和行业规范进行设计，由 K 系列硬件和 MACS V6.5 软件组成，集成了各行业的先进控制算法平台，可根据不同行业的自动化控制需求，提供专业全面的一体化解决方案。HOLLiASMACS-K系统具有数据采集、控制运算、控制输出、设备和状态监视、报警监视、远程通讯、实时数据处理和显示、历史数据管理、日志记录、事故顺序识别、事故追忆、控制调节、报表打印、高级计算、以及这些信息的组态、调试、打印、下载、诊断等功能。

组态软件，又称组态监控软件系统软件。它是指一些数据采集与过程控制的专用软件。它们处在自动控制系统监控层一级的软件平台和开发环境，使用灵活的组态方式，为用户提供快速构建工业自动控制系统监控功能的、通用层次的软件工具。组态软件的应用领域很广，可以应用于电力系统、给水系统、石油、化工等领域的数据采集与监视控制以及过程控制等诸多领域。在电力系统以及电气化铁道上又称远动系统。组态软件在国内是一个约定俗成的概念，并没有明确的定义，它可以理解为“组态式监控软件”。

DCS是分布式控制系统的英文缩写(Distributed Control System)，在国内自控领域又称为集散控制系统。集散控制系统(DCS)是一种以微处理器为基础的分散型综合控制系统，DCS系统综合了计算机技术、网络通讯技术、自动控制技术、冗余及自诊断技术，采用了多层分级的结构，适用现代化生产的控制与管理需求，目前已成为工业过程控制的主流系统。

PLC常见的输入设备有按钮、行程开关、接近开关、转换开关、拨码器、各种传感器等，输出设备有继电器、接触器、电磁阀等。想学好电气，必须先学会接线，如果线都接不好的话，设备出现问题时，依然是无从下手。正确地连接输入和输出线路，是保证PLC可靠工作的前提。

PLC通讯指的是在自动化控制系统中，不同的PLC设备之间进行信息传输和交换的过程。PLC通信的任务是将地理位置不同的PLC、计算机、各种现场设备等，通过通信介质连接起来，按照规定的通信协议，以某种特定的通信方式高效率地完成数据的传送、交换和处理。PLC通讯是现代工业自动化控制中必不可少的一部分，它使得各种自动化控制设备之间能够相互协作、实现数据共享，从而实现自动化控制系统的集成化、高效化、智能化等目标。

工业控制系统（ICS）是一个通用术语，随着工业技术的快速发展，相继出现了集散控制系统和现场控制系统。涵盖多种类型的控制系统，包括和（SCADA）系统，分布式控制系统（DCS），和其他较小的控制系统配置，如经常在工业部门和关键基础设施中用到的防滑安装的可编程逻辑控制器（）。ICS通常使用于电力，水利，石油和天然气，化学，运输，制药，纸浆，食品和饮料以及离散制造（例如，汽车，航空和耐用品）和造纸等行业。工业过程控制中的三大控制系统，分别是PLC、DCS、FCS。基础是数字智能现场设备，本质是信息处理现场化。..

工控，指的是工业控制自动化，主要利用电气、机械、软件组合的方式实现， 即是工业控制系统，或者是工厂自动化控制。工控安全指的是工业控制系统的数据、网络和系统安全。随着工业信息化的迅猛发展，德国的“工业4.0”、美国的“再工业化”风潮、“中国制造2025”等国家战略的推出，以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。但在工业企业获得巨大发展动能的环境背景下，也滋生了大量安全隐患，工控安全正面临严峻的挑战 。

IEC61158是国际电工委员会发布的现场总线与工业以太网标准，涵盖的内容非常广泛，大体包括1、IEC61158-1总论与导则；2、IEC61158-2物理层服务定义与协议规范；3、IEC61158-3数据链路层服务定义；4、IEC61158-4数据链路层协议规范；5、IEC61158-5应用层服务定义；6、IEC61158-6应用层协议规范；IEC61158第1版发布于1999年3月，目前最新版本是IEC61158-x-2019。IEC61158公布了20多种经过市场考验的现场总线/工业。...

DNP3全称是DistributedNetworkProtocol3，分布式网络协议3，是一种应用于自动化组件之间的通讯协议，常见于电力、水处理等行业。它比起s7comm大刀阔斧做的协议栈要简单的多，是完全基于TCP/IP的，只是修改了应用层（但比modbus的应用层要复杂得多），在应用层实现了对传输数据的分片、校验、控制等诸多功能。DNP借助TCP在以太网上运行，使用的端口是20000端口。SCADA可以使用DNP协议与主站、RTU、及IED进行通讯。......

S7协议是西门子S7系列PLC通信的核心协议，它是一种位于传输层之上的通信协议，其物理层/数据链路层可以是MPI总线、PROFIBUS总线或者工业以太网。S7以太网协议本身也是TCP/IP协议簇的一员，S7协议在OSI中的位置相当于将物理层和数据链路层之上的协议进行了定义，S7comm的协议栈修改程度更高，在应用层组织的数据经过COTP协议、TPKT协议的进一步处理后，最终通过TCP进行传输。S7协议与TCP/IP其中的对应关系备注S7协议工作流程报文头（header）；TPKT协议。...

S7comm（S7 通信）是西门子专有协议，可在西门子 S7-300/400 系列的可编程逻辑控制器 (PLC) 之间运行。它用于 PLC 编程、PLC 之间的数据交换、从 SCADA（监控和数据采集）系统访问 PLC 数据以及诊断目的。S7comm 数据作为 COTP 数据包的有效载荷出现，第一个字节总是 0x32 作为协议标识符。要建立与 S7 PLC 的连接，有 3 个步骤：步骤 1：使用 PLC/CP 的 IP 地址。步骤 2：用作两个字节长度的目标 TSAP。目标 TSAP 的第一个字节编码通信类

IEC104规约由国际电工委员会制定。IEC104规约把IEC101的应用服务数据单元（ASDU）用网络规约TCP/IP进行传输的标准，该标准为远动信息的网络传输提供了通信规约依据。采用104规约组合101规约的ASDU的方式后，可很好的保证规约的标准化和通信的可靠性。104规约104是厂站与配网主站进行通讯的规约，以以太网为载体，服务模式是平衡模式，用于远动控制通信的，用于调度自动化系统，厂站之间的通讯。104规约的报文帧分为三类，I帧，S帧，U帧；心跳机制t0站初始化TX遥测。...

OPC通信技术因其帮助大量的使用不同通信协议的下层现场设备的数据得以与上位机的应用程序进行交互的作用，成为了一种工业通信领域中一套广为流行的方案，它使得硬件供应商和软件开发商都可以专注于做自己的工作。默认协议选项卡中制定了可供DCOM选择的通信协议，在底下的列表中的顺序表示将使用它们的优先级顺序，一般来讲在列表里最好删除掉没有使用到的协议，因为如果不存在服务器计算机，它会依次尝试每种协议，这样会耗费很多时间。安装好需要的软件之后，我们先将我们电脑的防火墙关闭，这样会方便我们的操作。......

Modbus是一种串行通信协议，是Modicon公司于1979年为使用可编程逻辑控制器通信而发表。现在Modbus已经成为工业领域通信协议的业界标准，并且现在是工业电子设备之间常用的连接方式。此协议支持传统的RS-232、RS-422、RS-485和以太网设备，许多工业设备，包括PLC、DCS、智能仪表等都在使用Modbus协议作为其通讯标准。不同的设备诸如PLC，Control Panel，I/O Device等，通过不同的链路诸如RS485，TCP/IP等都可以基于Modbus协议进行通信。

A1-在工业生产过程中，大量的开关量顺序控制，它按照逻辑条件进行顺序动作，并按照逻辑关系进行连锁保护动作的控制，及大量离散量的数据采集。传统上，这些功能是通过气动或电气控制系统来实现的。1968年美国GM（通用汽车）公司提出取代继电气控制装置的要求，第二年，美国数字公司研制出了基于集成电路和电子技术的控制装置，首次采用程序化的手段应用于电气控制，这就是第一代可编程序控制器，称ProgrammableController（PC）。个人计算机（简称PC）发展起来后，为了方便，也为了反映可编程控制器的功能特点。.

​串口通信（Serial Communications）的概念非常简单，串口按位（bit）发送和接收字节的通信方式。尽管串行通讯的比按字节传输的并行通信慢，但是串口可以在仅仅使用两根线的情况下就能实现数据的传输。​由于串口通信是异步的，所以端口能够在一根线上发送数据同时在另一根线上接收数据。简单的解释就是：两个人说话，一个人说，一个人听。串口通信最重要的参数是端口（com）、波特率、数据位、停止位和奇偶的校验。对于两个需要进行串口通信的端口，这些参数必须匹配，共同遵守，这也是能够实现串口通讯的前提。

⼀、前⾔：“零信任⽹络”（亦称零信任架构）⾃2010年被当时还是研究机构Forrester的⾸席分析师JohnKindervag提出时起，便⼀直处于安全圈的“风⼝浪尖”处，成为众⼈不断争议与讨论的对象，有⼈说这是未来安全发展的必然产物、也有⼈说其太过超前⽽⽆法落地，但⽆论“零信任”如何饱受争议，不可否认的是随着“零信任”的⽀撑技术逐渐发展，这个从前只存在于理论上的“安全最优解”正逐步成为现实。在2019年9⽉份，⼯信部公开征求对《关于促进⽹络安全产业发展的指导意见（征求意见稿）》的意见中，《意见》指出到20

数据安全生命周期分为采集、传输、存储、处理、交换、销毁几个阶段，其中数据处理阶段是整个周期的核心阶段，数据处理安全与否直接关系到整体数据安全。那么今天分享内容就是数据处理安全的相关要求和实现目标。DSMM是Data Security capability MaturityModel的缩写，中文名为数据安全能力成熟度模型。是以2019-08-30 发布，2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。为什么需要管理数据安全随信息技术的

① 安全管理　　安全治理　　　　Management，管理，管理者为了达到特定目的而对管理对象进行的计划、 组织、指挥、协调和控制的一系列活动。　　　　governance，治理，治理是或公或私的个人和机构进行经营、管理相同事务的诸多方式的总和，安全治理是支持、定义和指导组织的安全工作相关的实践的集合，包括：安全审计、安全监督、安全合规、文件审查等。　　　　管理强调的是一个过程活动，而治理强调的是为了达到同一目标，多方面的协调。　　安全管理计划　　　　安全管理计划能确保安全策略的适当创建、实现和实施。建立安

安全架构是指企业综合业务需求和对未来变化因素的考虑，针对各种安全威胁，设计的一个布局合理，提高安全系数、降低风险、节约成本的系统。企业安全架构（Enterprise Security Architechture，ESA）在企业的层面定义了需要支持业务运行的IT安全能力和需要提供的功能，帮助企业在IT安全能力方面做出正确战略决策和运作决定，最终为辨别、选择、获取、设计、实施、部署及运营安全管控系统的决策提供依据.企业安全架构着眼于在整个企业组织架构中贯彻信息安全基础架构，而非针对单独特定应用系统的具体功能性和

1、行业特性传统信息系统旨在利用计算机、互联网技术实现数据处理与信息共享，而工业控制系统旨在利用计算机、互联网、微电子以及电气等技术，使工厂的生产和制造过程更加自动化、效率化、精确化，并具有可控性及可视性，它强调的是工业自动化过程及相关设备的智能控制、监测与管理。2、工业控制设备传统信息系统是通过互联网协议组成的计算机网络；而工业控制系统是PLC、RTU、DCS、SCADA等工业控制设备及系统组成的多层次网络。3、工业控制操作系统传统信息系统通用使用的操作系统，如Windows、UNIX、Linux等，防护