diff --git "a/tools/\346\212\223 Windows \345\257\206\347\240\201\357\274\214\350\277\231 7 \347\247\215\346\212\200\346\234\257\345\244\237\344\270\215\345\244\237\347\224\250\357\274\201.md" "b/tools/\346\212\223 Windows \345\257\206\347\240\201\357\274\214\350\277\231 7 \347\247\215\346\212\200\346\234\257\345\244\237\344\270\215\345\244\237\347\224\250\357\274\201.md"
new file mode 100644
index 00000000..f9aff230
--- /dev/null
+++ "b/tools/\346\212\223 Windows \345\257\206\347\240\201\357\274\214\350\277\231 7 \347\247\215\346\212\200\346\234\257\345\244\237\344\270\215\345\244\237\347\224\250\357\274\201.md"	
@@ -0,0 +1,30 @@
+> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码， 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/wAE84-n5rtfIvEKNIAEdPQ)
+
+内网渗透中，获取到 Windows 系统权限之后，抓取本地哈希是必不可少的操作，今天分享一款工具，集成了 7 种转储 LSASS 内存的方法，工具地址：
+
+> https://github.com/Offensive-Panda/ShadowDumper
+
+运行如图：
+
+![](https://mmbiz.qpic.cn/mmbiz_png/sGfPWsuKAfelrH4jneuT05mcu7xMk0pIO9mX06tw4ia6paOqhs2Hv9picpWBf42f211iaxdrfiayrJTFIZBKtzEqDg/640?wx_fmt=png&from=appmsg)
+
+未提供任何参数运行程序，会要求你输入所要指定的方法，参数为 1-7，功能分别对应：
+
+1.  使用解除挂钩技术转储 lsass 内存以注入修改后的 mimikatz 二进制文件。
+    
+2.  使用解除挂钩技术转储 lsass 内存以使用 MDWD 的直接系统调用注入二进制文件。
+    
+3.  使用简单的 MiniDumpWriteDump API 转储 lsass 内存。
+    
+4.  使用 MINIDUMP_CALLBACK_INFORMATION 回调转储 lsass 内存。
+    
+5.  使用进程分叉技术转储 lsass 内存。
+    
+6.  使用 MiniDumpWriteDump 的直接系统调用转储 lsass 内存。
+    
+7.  使用直接系统调用转储 lsass 内存（本机转储，带有离线解析所需的流）。
+    
+
+随机选一个，比如 5，结果如图：
+
+![](https://mmbiz.qpic.cn/mmbiz_png/sGfPWsuKAfelrH4jneuT05mcu7xMk0pI3kPEPMjf3L70oOdic6pTm4ylibo7piaLVzKg06mic3ibRk1xz1lmj8ticWoA/640?wx_fmt=png&from=appmsg)
\ No newline at end of file