To nie jest takie proste jak może się wydawać. Siemens nawet w tak starych modelach jak S7-200 stosował mechanizmy które wymagają sporej wiedzy o strukturze pamięci EEPROM. W sterowniku S7-200 (CPU 22x) hasło nie jest przechowywane w programie lecz w specyficznym bloku systemowym. Jeżeli posiadasz zrzut binarny z pamięci EEPROM musisz celować w konkretne offsety. Najczęściej hasło znajduje się w bloku danych systemowych zaczynających od adresu 0x05e0 lub w okolicach w zależności od wersji CPU. Hasło jest maskowane prostym XOR-em i nie będzie tam widać liczb. Standardowo hasło ma 8 znaków. Więc w dumpie szukać trzeba ciągu 8 znaków które wyglądają na nieprzypadkowe w kontraście otaczających je zer bądź powtarzających się bloków konfiguracji...
Od razu mówię że poziom zabezpieczeń w S7-200 ma 4 poziomy ochrony. Jeśli ustanowiony jest poziom 4 dostęp do dumpu przez standardowe porty może być całkowicie zablokowany sprzętowo a odczytanie pin-u będzie wymagać wylutowania układu. Możliwa jest jeszcze opcja wyciągania hasła jakimś HEX-em ale zajmie ona kosmos czasu. Jeśli to krytyczna maszyna i nie masz backupu, najbezpieczniejszą metodą jest wyczyszczenie pamięci (Wipe Out) i wgranie projektu od nowa, o ile go posiadasz. Próba "odnalezienia" hasła w dumpie to ostateczność, która bez znajomości konkretnego algorytmu XOR dla danej wersji firmware'u skończy się tylko bólem głowy.
