1、工具简介

SPECTR3 是由 Alpine Security 开发的一款跨平台远程采集与取证工具，当前版本为 v0.7.5。该工具专为在无需物理接触目标设备的情况下，进行远程磁盘卷共享、取证采集与初步分析而设计，适用于应急响应、事件调查和数据保全等场景。

尽管 SPECTR3 的底层技术构建依赖上述开源组件，但其功能设计更贴近于 F-Response，专注于远程采集、透明访问和多源数据分流等数字取证需求，支持对指定卷、磁盘或整机数据进行非侵入式远程挂载与分析。

2、功能介绍

  -l, --list
    列出可用的卷和磁盘。

  -p, --port
    设置监听的端口号。

  -i, --permitip
    设置允许连接的客户端 IP 地址。

  -b, --bindip
    设置服务器监听的绑定 IP 地址。

  -v, --volume
    设置要共享的卷。

  -d, --disk
    设置要共享的磁盘。

  -a, --shareall
    共享所有磁盘。

  -t, --timeout
    在指定分钟数内无活动时停止服务。
    例如：-t 60（表示 60 分钟无操作则停止）

  -h, --help
    显示此帮助信息。

--sshuser
    设置用于 SSH 连接的用户名。

--sshpass
    设置用于 SSH 连接的密码（使用 BASE64 编码）。
    注意：如果密码为空，将提示输入密码，此时无需编码。

--sshhost
    设置要连接的 SSH 主机地址。

--sshport
    设置 SSH 连接的端口号，默认值为 22。

--daemon
    以后台无人值守模式运行 SPECTR3。
    注意：需手动通过 PID 杀死进程。

3、下载与安装

https://github.com/alpine-sec/SPECTR3

4、使用教程

windows

在目标服务器上开启spectr服务器。

于本地开启ISCSI，点击发现->发现门户,填写SPECTR3服务器地址和端口并点击确定。

确认识别上。

在"目标"选项中选择刚才发现的目标并点击连接。

点击确定。

确认已连接。

在本地服务器查看磁盘，使用您的取证工具进行采集分析。

Linux

安装iscsi

apt-get install open-iscsi

发现目标服务器

sudo iscsiadm -m discovery -t sendtargets -p 192.168.0.135:3262

连接目标服务器。

sudo iscsiadm -m node -l

之后使用可以使用取证工具进行取证，例如：

sudo ewfacquire -u -S 5GiB -t /tmp/windev/windev /dev/sdb

5、工具补充说明

跨平台支持：SPECTR3 可在 Windows 和 Linux 系统上运行，通过相应参数配置即可适配不同取证环境。

服务端/客户端模型：工具以 Server 模式运行，允许配置监听地址、端口、授权 IP 等参数，实现对远程客户端的访问控制。

SSH 辅助连接：通过 --sshuser 和 --sshhost 等参数，可实现通过 SSH 建立初始控制通道，便于任务下发与服务状态检查。

取证方式灵活：支持单卷、单盘或全盘远程共享，可根据案件需求灵活选择目标数据范围。

支持后台运行：使用 --daemon 参数可将工具以无人值守方式运行，适用于批量部署与自动化场景。

**限制客户端 IP：**使用 --permitip 参数，只允许来自特定 IP 的设备访问：

SPECTR3.exe -d 0 --permitip 192.168.1.100

6、注意事项

在目标主机上运行 SPECTR3 需具备管理员（或 root）权限，以实现磁盘级访问和共享。

建议在内网环境或限制客户端 IP，确保数据传输安全。需提前开放监听端口（如 3262 或自定义端口）。