【应急响应工具教程】SPECTR3:通过便携式 iSCSI 实现远程证据的只读获取与分析
1、工具简介
SPECTR3 是由 Alpine Security 开发的一款跨平台远程采集与取证工具,当前版本为 v0.7.5。该工具专为在无需物理接触目标设备的情况下,进行远程磁盘卷共享、取证采集与初步分析而设计,适用于应急响应、事件调查和数据保全等场景。
尽管 SPECTR3 的底层技术构建依赖上述开源组件,但其功能设计更贴近于 F-Response,专注于远程采集、透明访问和多源数据分流等数字取证需求,支持对指定卷、磁盘或整机数据进行非侵入式远程挂载与分析。
2、功能介绍
-l, --list列出可用的卷和磁盘。-p, --port设置监听的端口号。-i, --permitip设置允许连接的客户端 IP 地址。-b, --bindip设置服务器监听的绑定 IP 地址。-v, --volume设置要共享的卷。-d, --disk设置要共享的磁盘。-a, --shareall共享所有磁盘。-t, --timeout在指定分钟数内无活动时停止服务。例如:-t 60(表示 60 分钟无操作则停止)-h, --help显示此帮助信息。--sshuser设置用于 SSH 连接的用户名。--sshpass设置用于 SSH 连接的密码(使用 BASE64 编码)。注意:如果密码为空,将提示输入密码,此时无需编码。--sshhost设置要连接的 SSH 主机地址。--sshport设置 SSH 连接的端口号,默认值为 22。--daemon以后台无人值守模式运行 SPECTR3。注意:需手动通过 PID 杀死进程。
3、下载与安装
https://github.com/alpine-sec/SPECTR3
4、使用教程
windows
在目标服务器上开启spectr服务器。
于本地开启ISCSI,点击发现->发现门户,填写SPECTR3服务器地址和端口并点击确定。
确认识别上。