• Makine Kodunu Assembly'ye Çevirme: En temel işlevidir. İşlemcinin anlayacağı 0 ve 1'lerden oluşan talimatları, insanlar için daha anlaşılır olan `MOV`, `ADD`, `JMP` gibi mnemonic kodlara dönüştürür.
• Kod ve Veri Ayrımı: İkili dosya içinde hangi kısımların yürütülebilir kod, hangi kısımların veri olduğunu ayırt etmeye çalışır. Bu, karmaşık bir işlemdir ve bazen yanlış yorumlamalara yol açabilir.
• Fonksiyon Tanımlaması: Programdaki fonksiyonların başlangıç ve bitiş noktalarını belirler, bu da kodun yapısal olarak anlaşılmasını kolaylaştırır.
• Çapraz Referanslar (Cross-References): Belirli bir bellek adresine veya fonksiyona hangi diğer kod parçalarının atıfta bulunduğunu gösterir. Bu, bir değişkenin veya fonksiyonun nerede kullanıldığını anlamak için kritik öneme sahiptir.
• Grafik Görünümleri: Fonksiyonların ve kod bloklarının akışını görselleştiren kontrol akış grafikleri (Control Flow Graphs - CFG) sunarlar. Bu, karmaşık mantık yapılarının hızlıca kavranmasını sağlar.
• Sembol Analizi: Eğer mevcutsa, hata ayıklama sembollerini (debug symbols) veya dışa aktarılmış fonksiyon isimlerini (exported functions) kullanarak kodun daha anlamlı hale gelmesini sağlar.

• Tersine Mühendislik (Reverse Engineering): Bir ürünün tasarımını, işleyişini veya mimarisini anlamak için kullanılır. Örneğin, rakip bir yazılımın nasıl çalıştığını öğrenmek.
• Malware Analizi: Kötü amaçlı yazılımların (virüsler, solucanlar, fidye yazılımları vb.) davranışlarını, yayılma mekanizmalarını ve etkilerini statik olarak incelemek için kullanılır. Bu, tehdit istihbaratının temelini oluşturur.
• Zafiyet Keşfi: Güvenlik araştırmacıları, yazılımlardaki güvenlik açıklarını (buffer overflow, format string bug vb.) kaynak kodu olmadan bulmak için disassembler'lardan faydalanır.
• Adli Bilişim (Digital Forensics): Olay müdahalesi sırasında, sistemde bulunan şüpheli ikili dosyaları analiz etmek ve faaliyetlerini anlamak için kullanılır.
• Yazılım Uyumluluğu ve Optimizasyonu: Bazen, eski veya uyumsuz yazılımların yeni sistemlerde çalışmasını sağlamak veya performans darboğazlarını tespit etmek için kullanılır.

• IDA Pro: Endüstri standardı kabul edilen, çok güçlü ve özellik zengini ticari bir disassembler'dır. Birçok mimariyi ve dosya formatını destekler.
• Ghidra: NSA tarafından geliştirilen ve açık kaynak olarak yayınlanan ücretsiz bir tersine mühendislik aracıdır. Güçlü bir dekompiler özelliği ile assembly kodunu C/C++ benzeri sözde koda çevirebilir.
• Binary Ninja: Hızlı ve kullanımı kolay arayüze sahip, Python betik yetenekleri ile öne çıkan bir diğer popüler ticari araçtır.

“Disassemblers are the spectacles through which we peer into the mind of a machine.”

Genişletmek için tıkla ...

int a = 5; int b = 3; int sum = a + b;

.text
_main:
    push    rbp
    mov     rbp, rsp
    mov     dword ptr [rbp-4], 5      ; a = 5
    mov     dword ptr [rbp-8], 3      ; b = 3
    mov     eax, dword ptr [rbp-4]    ; eax = a
    add     eax, dword ptr [rbp-8]    ; eax += b
    mov     dword ptr [rbp-12], eax   ; sum = eax
    mov     eax, dword ptr [rbp-12]   ; return sum (or just last value)
    pop     rbp
    ret

• Kesme Noktaları (Breakpoints): Programın belirli bir kod satırında veya bellek adresinde durmasını sağlayan işaretçilerdir. Koşullu kesme noktaları ile belirli bir koşul sağlandığında durdurma imkanı da sunar.
• Adım Adım İlerleme (Stepping):
  • Step Over (Üzerinden Adımla): Bir fonksiyon çağrısını tek bir talimat olarak işler ve fonksiyonun içine girmeden bir sonraki satıra atlar.
  • Step Into (İçine Adımla): Bir fonksiyon çağrısının içine girer ve fonksiyonun ilk talimatından devam eder.
  • Step Out (Dışına Adımla): Mevcut fonksiyonun sonuna kadar çalışır ve çağıran fonksiyona geri döner.
• Bellek Görüntüleme (Memory View): Programın kullandığı belleği (RAM) ham veya yapılandırılmış formatlarda görüntülemeyi ve değiştirmeyi sağlar.
• Register Görüntüleme (Register View): İşlemcinin genel amaçlı ve özel registerlarının anlık değerlerini gösterir. Bu registerlar, fonksiyon argümanlarını, dönüş değerlerini ve geçici verileri tutar.
• Çağrı Yığını (Call Stack): Programın o anki yürütme yolunu, yani hangi fonksiyonların birbirini çağırdığını gösteren bir listedir. Bu, program akışını anlamak için çok önemlidir.
• İzleme Noktaları (Watchpoints/Hardware Breakpoints): Belirli bir bellek adresindeki değer değiştiğinde programı durduran özel kesme noktalarıdır.
• Yama (Patching): Çalışan programın kodunu veya verisini anlık olarak değiştirmeye olanak tanır.

• Hata Ayıklama (Debugging): Yazılım geliştiricilerin, kodlarındaki mantıksal hataları bulup düzeltmeleri için birincil araçtır.
• Zafiyet Araştırması ve Exploit Geliştirme: Güvenlik araştırmacıları, bir programdaki zafiyetin nasıl tetiklendiğini, bellekte nasıl etki yarattığını ve bu zafiyetin nasıl istismar edilebileceğini adım adım izlemek için debugger kullanır.
• Malware Analizi: Kötü amaçlı yazılımların sistem üzerinde nasıl çalıştığını, hangi API çağrılarını yaptığını, hangi dosyaları oluşturduğunu veya hangi ağ bağlantılarını kurduğunu dinamik olarak gözlemlemek için kullanılır.
• Tersine Mühendislik (Dinamik Analiz): Statik analizle anlaşılamayan veya karmaşık olan kod parçacıklarının çalışma zamanındaki davranışlarını gözlemlemek için. Örneğin, obfuscation (kod karartma) uygulanmış kodları çözmek.
• Performans Analizi ve Optimizasyon: Programın hangi bölümlerinin daha fazla zaman aldığını belirlemek ve performans darboğazlarını gidermek için kullanılabilir.

• OllyDbg / x64dbg: Özellikle Windows platformunda tersine mühendislik ve exploit geliştirme için popüler, güçlü ve ücretsiz debugger'lardır. Assembly seviyesinde hata ayıklama için idealdir.
• WinDbg: Microsoft tarafından sağlanan, Windows çekirdeği ve kullanıcı modu uygulamaları için çok güçlü bir debugger'dır. Karmaşık sorunlar ve mavi ekran hataları için vazgeçilmezdir.
• GDB (GNU Debugger): Unix benzeri sistemlerde (Linux, macOS) en yaygın kullanılan komut satırı tabanlı debugger'dır. Birçok programlama dili ve mimarisini destekler.
• IDA Pro Debugger: IDA Pro'nun entegre bir debugger özelliği de vardır ve statik analiz ile dinamik analizi aynı arayüzde birleştirir.
• Visual Studio Debugger: Microsoft Visual Studio IDE'sinin parçası olup, C++, C#, VB.NET gibi dillerde yazılmış uygulamalar için zengin özelliklere sahip bir hata ayıklayıcıdır.

“A debugger is like a microscope for your code. It reveals the invisible details of execution.”

Genişletmek için tıkla ...

• Statik Analizden Dinamik Analize Geçiş: Bir disassembler ile ikili dosyanın yapısını, önemli fonksiyonları, şüpheli kod bloklarını veya ilginç veri yapılarını statik olarak analiz edersiniz. Örneğin, bir malware analizinde, dosya sistemine yazma veya ağ bağlantısı kurma gibi kritik API çağrılarını disassembler ile tespit edersiniz.
• Kesme Noktası Yerleştirme: Disassembler ile belirlediğiniz bu kritik noktalara, debugger içinde kesme noktaları (breakpoints) yerleştirirsiniz. Bu, program o noktaya geldiğinde durmasını ve o anki durumunu incelemenizi sağlar.
• Çalışma Zamanı Davranışının Gözlemlenmesi: Program kesme noktasında durduğunda, debugger aracılığıyla işlemci registerlarının değerlerini, bellek içeriğini, çağrı yığınını inceler ve programın adım adım nasıl ilerlediğini gözlemlersiniz. Bu sayede, statik analizde anlaşılamayan değişken değerleri, şifreleme anahtarları, dinamik olarak yüklenen modüller gibi bilgilere ulaşabilirsiniz.
• Obfuscation (Karartma) ve Anti-Debugging Tekniklerinin Aşılması: Bazı kötü amaçlı yazılımlar veya korumalı uygulamalar, analizlerini zorlaştırmak için kod karartma (obfuscation) veya anti-debugging teknikleri kullanır. Disassembler, karartılmış kodun yapısını anlamanıza yardımcı olurken, debugger ise bu tekniklerin çalışma zamanında nasıl aşıldığını veya devre dışı bırakıldığını tespit etmenizi sağlar. Örneğin, bir `IsDebuggerPresent()` çağrısının nasıl atlandığını debugger ile görebilirsiniz.
• Zafiyet Analizi ve Exploit Geliştirme: Bir disassembler ile bellekte bir arabellek taşması (buffer overflow) zafiyetine neden olabilecek bir kodu tespit ettiniz diyelim. Debugger kullanarak, bu taşmanın nasıl gerçekleştiğini, hangi registerları veya bellek bölgelerini etkilediğini, shellcode'unuzun nereye yazılacağını ve nasıl yürütüleceğini tam olarak belirleyebilirsiniz.

• Assembly Dili Bilgisi: X86/X64 assembly dili ve işlemci mimarisi hakkında sağlam bir bilgiye sahip olmak, disassembler çıktısını yorumlamak ve debugger ile etkileşim kurmak için temel gerekliliktir.
• İşletim Sistemi ve Bellek Yönetimi Bilgisi: Programların belleği nasıl kullandığını, çağrı yığınının (call stack) nasıl çalıştığını ve işletim sistemi API'lerinin nasıl çağrıldığını anlamak çok önemlidir.
• Kompleks Kod ve Obfuscation: Modern yazılımlar ve özellikle kötü amaçlı yazılımlar, analizlerini zorlaştırmak için karmaşık kod yapıları, şifreleme, sanallaştırma veya diğer obfuscation tekniklerini kullanır. Bu durum, analizi oldukça zorlaştırabilir.
• Anti-Debugging / Anti-Disassembly Teknikleri: Birçok uygulama veya malware, debugger veya disassembler'ın kendisini tespit etmesini ve analiz sürecini engellemesini sağlayan teknikler içerir. Bunları aşmak için özel teknikler ve araçlar gerekebilir.
• Zaman ve Sabır: Yazılım analizinde başarı, genellikle uzun saatler süren detaylı inceleme, deneme-yanılma ve sabır gerektirir.

• Bol bol pratik yapın. Küçük, kendi yazdığınız programlarla başlayın ve bunları disassembler/debugger ile inceleyin.
• Farklı mimariler (ARM, MIPS vb.) ve işletim sistemleri (Linux, Android) üzerinde de deneyim kazanın.
• Çevrimiçi kaynakları, dersleri ve forumları takip edin. Tersine mühendislik toplulukları, bilgi paylaşımı için harika yerlerdir.
• YouTube'daki eğitim videoları ve tersine mühendislik blogları size çok yardımcı olacaktır.
• Basit hata ayıklama senaryolarından başlayarak karmaşık malware analizlerine doğru ilerleyin.