Siber güvenlik dünyasının derinliklerine inmek isteyen herkesin yolunun bir noktada kesiştiği, adeta dijital bir arkeoloji alanı olan tersine mühendislik, yazılımların iç işleyişini anlama sanatıdır. Peki, kaynak kodu elimizde olmayan bir programın kapalı kutusunu nasıl açar, onun ne yaptığını, nasıl çalıştığını ve belki de en önemlisi, hangi zayıflıklara sahip olabileceğini nasıl keşfederiz? İşte bu soruların cevabı, bilgisayarların en temel diline, yani Assembly'ye ve onu çözümleme tekniklerinden biri olan statik analize uzanıyor.
Bilgisayarların dünyasında her şey, 1 ve 0'lardan oluşan makine koduyla ifade edilir. Bizim günlük hayatta kullandığımız C++, Python veya Java gibi yüksek seviyeli programlama dilleri, derleyiciler aracılığıyla bu anlaşılması güç makine koduna dönüştürülür. Tersine mühendislik tam da bu noktada devreye girer; derlenmiş bir ikili dosyayı alır ve onu tekrar anlaşılır bir forma, yani Assembly diline çevirerek programın mantığını, algoritmalarını ve veri akışını çözmeye çalışırız. Bu süreç, bir binanın dış cephesini ve iç mimarisini, planlarına sahip olmadan anlamaya benzetilebilir; her tuğla, her kiriş, bize yapının amacı hakkında ipuçları verir.
Assembly dili, işlemcinin doğrudan anlayabileceği komut setlerinin metinsel temsilidir ve her işlemci mimarisinin (x86, ARM, MIPS gibi) kendine özgü bir Assembly dili vardır. Bu dil, işlemcinin çekirdeğindeki küçük, hızlı hafıza alanları olan yazmaçları (register) kullanarak verileri manipüle eder. Örneğin, EAX genellikle genel amaçlı bir yazmaçken, ESP yığın işaretçisi (stack pointer) olarak görev yapar. MOV (move), ADD (addition), CMP (compare) ve JE (jump if equal) gibi temel komutlar, bir programın akışını oluşturan mikro işlemleri temsil eder. MOV komutu bir veriyi bir yerden başka bir yere taşırken, ADD iki sayıyı toplar. CMP komutu ise iki değeri karşılaştırır ve ardından gelen JE gibi koşullu atlama komutları, programın belirli bir koşula bağlı olarak farklı bir koda dallanmasını sağlar. Tersine mühendisler, bu mikroskobik adımları izleyerek, karmaşık döngüleri, karar yapılarını ve fonksiyon çağrılarını yeniden inşa ederler. Bu, adeta bir yapbozun en küçük parçalarını birleştirerek büyük resmi görmeye çalışmak gibidir.
Bir yazılımı analiz etmeye başlarken atılan ilk ve en güvenli adım, statik analizdir. Adından da anlaşılacağı üzere, bu yöntem hedef dosyayı kesinlikle çalıştırmadan, sadece ikili yapısını ve kod mimarisini incelemeyi kapsar. Statik analizde, dosyanın işletim sistemine özgü formatı (Windows'ta PE - Portable Executable, Linux'ta ELF - Executable and Linkable Format) incelenir. Bu formatlar, dosyanın bölümlerini (kod, veri, kaynaklar gibi), başlangıç noktasını ve diğer önemli meta verilerini barındırır. Ayrıca, programın içine gömülmüş gizli metinleri (string taraması) bulmak, parolalar, URL'ler veya hata mesajları gibi değerli ipuçları sağlayabilir. Programın dışarıdan çağırdığı kütüphaneleri ve fonksiyonları (Import Table - İçe Aktarma Tablosu) analiz etmek de hayati öneme sahiptir; zira bir programın hangi sistem fonksiyonlarını kullandığını bilmek, onun genel davranış kalıplarını anlamak için kritik bir başlangıç noktası sunar. Örneğin, CreateFile veya InternetOpen gibi fonksiyon çağrıları, programın dosya sistemiyle veya ağ ile etkileşime girdiğini hemen ortaya koyar.
Statik analiz sırasında Assembly komutları ve kod yapıları, programın davranışını anlamamız için temel taşları oluşturur. İşte bazı temel Assembly yapıları ve bunların statik analizdeki karşılıkları:
| Assembly Yapısı | Statik Analizdeki Karşılığı | Amacı/Tespit Edileni |
|---|---|---|
MOV komutları | Veri Atama ve Kopyalama | Değişkenlerin nasıl başlatıldığı, değerlerin aktarımı. |
ADD, SUB, MUL, DIV | Aritmetik İşlemler | Hesaplamalar, döngü sayaçları, bellek adreslemeleri. |
CMP ve JE, JNE, JG | Karar Yapıları (if-else, switch-case) | Koşullu dallanmalar, programın farklı yollar izlemesi. |
CALL ve RET | Fonksiyon Çağrıları ve Dönüşleri | Programın alt rutinleri, modüler yapısı, API çağrıları. |
PUSH ve POP | Yığın (Stack) İşlemleri | Fonksiyon parametreleri, yerel değişkenler, dönüş adresleri. |
LOOP komutları (örn: JMP) | Döngüler (for, while) | Tekrarlayan kod blokları, performans kritik alanlar. |
Bu temel yapıları anlamak, bir programın Assembly koduna baktığınızda neyin ne anlama geldiğini hızla kavramanıza yardımcı olur.
Peki, bu dijital dedektiflik serüvenine nereden başlamalı? Makine kodunu görsel Assembly grafiklerine ve bazen de sözde koda (pseudocode) dönüştüren Disassembler araçları, tersine mühendislerin vazgeçilmezidir. Ghidra ve IDA Pro gibi güçlü araçlar, ikili dosyaları analiz eder, fonksiyonları tanımlar, xref (çapraz referans) bilgilerini gösterir ve karmaşık kod yapılarını daha anlaşılır hale getirir. Ghidra, özellikle açık kaynak olması ve genişletilebilir yapısıyla yeni başlayanlar için harika bir başlangıç noktası sunar.
Bu alanda gelişmek isteyenler için en iyi yol, pratik yapmaktan geçer. Kendi yazdığınız küçük C veya C++ kodlarını derleyip, ardından Ghidra veya IDA Pro'da Assembly düzeyinde inceleyerek başlayabilirsiniz. Basit bir "if" yapısı, bir "for" döngüsü veya bir fonksiyon çağrısının Assembly'de nasıl göründüğünü keşfetmek, kavramsal anlayışınızı pekiştirecektir. Ayrıca, "Crackme" adı verilen, genellikle küçük güvenlik açıklarını bulmaya dayalı basit programcıklar üzerinde pratik yapmak, tersine mühendislik kaslarınızı geliştirmenin eğlenceli ve etkili bir yoludur. Unutmayın, bu yolculukta merak, sabır ve sürekli öğrenme arzusu en büyük kılavuzunuz olacaktır. Kim bilir, belki de bir sonraki büyük güvenlik keşfi sizin imzanızı taşıyacaktır. Ne dersiniz, bu heyecan verici dünyaya adım atmaya hazır mısınız?