На всех омроновских контроллерах пароль находится в программе пользователя, которая в свою очередь является скомпилированным из ЛАД двоичным файлом. чтобы получить пароль нужно вытащить этот файл из контроллера. на SC1/CJ1 возможно переписать запароленную прогу на флеш карту, а потом на компьютер.
В полученном файле "*.OBJ" пароль хранится в незашифрованном виде. Достаточно открыть этот файл двоичным редактором вроде WinHex, и пароли на программу и задачи видно в первых строчках файла. Смещение (offset) С8-начало пароля на программу CF-последний символ пароля.
D0-первый символ пароля на задачи,D7-последний.
"
12345678" пароль на контроллер
"
55555555" пароль на задачи.
Таким образом можно получить пароли на программу чтобы открыть её в контроллере, а можно заменить в файле значения паролей на "00" в двоичном виде, т.е. удалить пароли, и открыть файл программером.
Теперь ведро дёгтя в мёд (а может и бальзам на душу). у контроллеров SC1/CJ1 начиная с версий 2.0 появилась защита от передачи программы в карту памяти. Сейчас тот кто пишет прогу, может запретить запись проги из контроллера на карту памяти, может разрешить, а может просто забыть запретить. Можно-ли обойти этот момент или нет, я не знаю. Ещё появилась возможность полностью заблокировать запороленный контроллер от записи новой программы, т.е. записать новую прогу может только тот-кто знает все пароли, и предварительно снимет всю защиту. Или выпендриваться с батарейкой.
Нет возможности проверить CQM1H, контроллер зашищён от перебора паролей, но поиск пароля также возможен через карту памяти. Скорее всего имея карту с микросхемой EPROM, можно перезаписать в неё программу с паролем, вынуть микросхему и прочитать её содержимое.
У кого-нибудь есть желание продолжить эксперименты? В частности по CQM1H?