Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总(持续更新中......)

womwom · 发表于 2025-12-16 12:26:43

感谢分享

wu733 · 发表于 2025-12-16 18:12:45

本帖最后由 wu733 于 2026-4-11 20:08 编辑

gwaijyut 发表于 2025-12-15 23:44
哈哈，又绕到 KB4490628 身上了。
KB3020369、KB4490628
把 KB3172605 的前置换成 KB5071810 也是可以 ...

疑问：
KB3042058 2015年04月19日默认密码套件顺序更新，官网注明这货属于安全更新，见图1以及官网支持信息
KB3172605 2016年09月09日更新汇总<仅质量改进，非安全改进和修复，常规维护例程>，官网注明这货属于非安全更新，见图2，官网支持信息

问题来了，既然KB3172605属于非安全性更新汇总，那么一个非安全性更新又怎么能够取代一个安全更新呢？

带着疑惑，再次解剖这两货，以及用记事本一个一个打开补丁文件夹中的.mum，查看是否有注册表添加项目，结果表明KB3042058补丁文件夹中的所有.mum并无注册表添加项。

继续查找原因，发现KB3042058中的五个组件跟安全有关（也就是跟密码套件顺序有关）如下：
1、_microsoft-windows-security-credssp_31bf3856ad364e35_
2、_microsoft-windows-security-digest_31bf3856ad364e35_
3、_microsoft-windows-security-kerberos_31bf3856ad364e35_
4、_microsoft-windows-security-ntlm_31bf3856ad364e35_
5、_microsoft-windows-security-schannel_31bf3856ad364e35_

又继续解开KB3172605文件夹，其中也有如上同样五个跟安全有关的组件，见图3

惊天结论：根据图3中两个补丁文件夹的比较，KB3172605这货竟然包含了安全性更新内容！而非官方注明的非安全改进和修复。我感觉大家都被微软玩弄于股掌之间

gwaijyut · 发表于 2025-12-17 10:05:49

wu733 发表于 2025-12-16 18:12
疑问：
KB3042058 2015年04月19日默认密码套件顺序更新，官网注明这货属于安全更新，见图1以及官网支持 ...

啊？？不是这么对应的。你这是把概念和功能混为一谈了。
“安全”本身的含义比较宽泛。在你这个案例中，涉及到的公共动态库，是具体的功能实现。某个动态库的升级，可能涉及到具体的“安全”，也可能仅仅是质量上的改进，比如提供更丰富的接口。
更具体一点，wdigest.dll 的第一次升级跟“安全”有关，这可能是它提供的其中一个函数有问题，升级后被修复；
第二次升级，则可能仅仅是因为它提供的某个接口效率低下，那么，继承上次修复，做质量改进，就跟“安全”无关了。
从理论上说，每个动态链接库，都有可能涉及到“安全”问题，而对动态库的升级，不一定都跟“安全”相关。

题外话，mum 文件对补丁的类型有申明，也就是对补丁做了归类。在第 5 行上下，具体哪一行我忘了。releasetype = “xxxxxx” 这条

gudezheng · 发表于 2025-12-17 10:10:38

很给力!

wu733 · 发表于 2025-12-17 19:18:55

将取代关系中的 “文件取代” 修改为 “组件取代”

wu733 · 发表于 2025-12-18 17:04:39

本帖最后由 wu733 于 2025-12-18 18:05 编辑

附上KB3172605的官网资料：

2016年7月21日更新汇总KB3172605，KB3172605更新于2016年9月进行了修订，前置为2015年04月服务堆栈更新 (KB3020369)

This update includes quality improvements. No new operating system features are being introduced and no new security updates are included. Key changes include:

1、Improved support in Microsoft Cryptographic Application Programming Interface (CryptoAPI) to help identify websites that use Secure Hash Algorithm 1 (SHA-1).

2、Addressed issue in Microsoft Secure Channel (SChannel) that sometime causes Transport Layer Security (TLS) 1.2 connections to fail depending on whether the root certificate is configured as part of the certificate chain for server authentication.

此更新包括质量改进。未引入任何新的操作系统功能

并且未包含任何新的安全更新。主要更改包括：

1、改进了 Microsoft 加密应用程序编程接口 (CryptoAPI) 中的支持，以帮助识别使用安全哈希算法 1 (SHA-1) 的网站。

2、解决了 Microsoft 安全通道 (SChannel) 中的问题，该问题有时会导致传输层安全 (TLS) 1.2 连接失败，具体取决于根证书是否配置为服务器身份验证证书链的一部分。

Package Details取代列表:
This update replaces the following updates:
用于基于 x64 的系统的 Windows 7 更新程序 (KB2973337) 2014年05月31日TLS1.2与SHA512兼容性修复
用于基于 x64 的系统的 Windows 7 更新程序 (KB3156417) 2016年5月更新汇总
用于基于 x64 的系统的 Windows 7 更新程序 (KB3139923) 2016年04月16日HTTP共享安装MSI失败
用于基于 x64 的系统的 Windows 7 更新程序 (KB3040272) 2015年04月28日新增Windows语言包之后启动时间增加

以及支持页面申明取代1个，官方支持信息页面，见图一：
KB3161608 2016年06月20日更新汇总KB3161608

由于KB3161608会导致Intel蓝牙设备失效。且KB3161608被KB3172605完全取代，于是KB3172605继承了会导致Intel蓝牙设备失效的这个特征。

wu733 · 发表于 2025-12-18 17:07:06

本帖最后由 wu733 于 2025-12-18 18:02 编辑

KB3172605的非官方资料：

KB3172605替换以下补丁:
Windows 7 更新程序 (KB2639308) - 2011年11月21日支持ASLR(地址空间布局随机化)新功能，IE11相关
Windows 7 更新程序 (KB2661254) - 最小证书密钥长度更新
Windows 7 更新程序 (KB2677070) - 2012年04月25日让已泄露或某种程度上不受信任的证书被专门标记为不受信任
Windows 7 更新程序 (KB2679255) - 2012年03月17日当内存范围由SetFileIoOverlappedRange函数访问时，SQL Server数据损坏以及I / O操作
Windows 7 更新程序 (KB2699779) - 2012年06月01日安装使用多程序包安装的应用程序时可能会失败
Windows 7 更新程序 (KB2732500) - 2012年09月11日使用系统恢复还原系统时，收到错误消息“E_UNEXPECTED 0x8000ffff”
Windows 7 更新程序 (KB2749655) - 2012年08月25日Microsoft生成和签名的文件上的特定数字签名将过早过期，导致没有适当的时间戳属性
Windows 7 更新程序 (KB2923398) - 2014年01月04日使用SMB v2访问远程共享文件夹时，远程桌面会话可能会停止响应
Windows 7 更新程序 (KB2973337) - 2014年05月31日当使用TLS1.2时，SHA512在Windows中禁用
Windows 7 更新程序 (KB3000988) - 2014年09月19日安装 MSI 程序包提示"用户的配置文件是一个临时配置文件"的错误
Windows 7 更新程序 (KB3004394) - 2014年12月16日紧急的受信任的根证书更新
Windows 7 更新程序 (KB3008627) - 2014年10月15日安装更新KB2918614之后，用户帐户控制(UAC) 出现意外提示
Windows 7 更新程序 (KB3020338) - 2014年11月27日应用更新KB3006226之后，调用SafeArrayRedim函数的应用程序无法正常工作
Windows 7 更新程序 (KB3040272) - 2015年04月28日新增Windows语言包之后启动时间增加
Windows 7 更新程序 (KB3075249) - 2015年06月26日将遥测点添加到consent.exe，被后续月度汇总覆盖
Windows 7 更新程序 (KB3139923) - 2016年04月16日Windows安装程序（MSI）修复在Windows中的HTTP共享上安装MSI软件包时不起作用
Windows 7 更新程序 (KB3156417) - 2016年05月更新汇总

wu733 · 发表于 2025-12-18 17:20:39

本帖最后由 wu733 于 2026-2-2 13:22 编辑

选择KB3042058，还是KB3172605，还真是仁者见仁智者见智了

KB3172605对CipherSuiteOrder.adml、olepro32.dll进行了最终更新(23452)，后续月度汇总对这两个文件未再更新。这是不打KB3172605，WU会推送KB3172605的根本原因。

也许采用覆盖大法是解决此纠结的最佳解决办法，比较严谨的做法是：

选择KB3042058，在安装完所有旧补丁，未打月度汇总之前，将23452版的CipherSuiteOrder.adml、olepro32.dll替换系统中的同样文件：C:\Windows\PolicyDefinitions\zh-CN\CipherSuiteOrder.adml、C:\Windows\SysWOW64\olepro32.dll，并且替换C:\Windows\winsxs下组件amd64_microsoft-windows-c..order-adm.resources_31bf3856ad364e35_6.1.7601.18833_zh-cn_a6545a5630bfb949、x86_microsoft-windows-ole-automation-legacy_31bf3856ad364e35_6.1.7601.17514_none_3c1b247e5ff65f89文件夹下的文件，见图，最后再替换对应.manifest文件，更正：实践证明，不需要替换23452版.manifest文件

renshijian · 发表于 2025-12-18 17:46:23

虽然我看不懂说什么，但看起来很厉害的样子。留个名！

wu733 · 发表于 2025-12-18 19:01:51

gwaijyut 发表于 2025-12-17 10:05
啊？？不是这么对应的。你这是把概念和功能混为一谈了。
“安全”本身的含义比较宽泛。在你这个案例中， ...

两天未见人影，被老婆大人责令守门面去了？

promrhxq · 发表于 2025-12-18 20:44:25

感谢分享好东东

wu733 · 发表于 2025-12-18 22:02:50

本帖最后由 wu733 于 2025-12-18 22:46 编辑

关于非安热修补丁KB2990184：

KB2990184 2015年03月20日在Win7或 Server08 R2中，无法将符合FIPS标准的恢复密码保存到启用了BitLocker的Active Directory域服务(AD DS).

此非安热修补丁中的BitLocker驱动器加密组件被KB3125574进行了最终更新，后续月度汇总KB4534310未再更新。详情见图一、图二、图三、图四、图五

gwaijyut · 发表于 2025-12-19 01:30:32

wu733 发表于 2025-12-18 19:01
两天未见人影，被老婆大人责令守门面去了？

哈哈，这不是快过年了，忙着要钱，结果大不如意，令人唏嘘

gwaijyut · 发表于 2025-12-19 01:32:10

wu733 发表于 2025-12-18 22:02
关于非安热修补丁KB2990184：

你这是每个补丁都解开啊，查表对比更方便不是

wu733 · 发表于 2025-12-19 01:33:21

gwaijyut 发表于 2025-12-19 01:30
哈哈，这不是快过年了，忙着要钱，结果大不如意，令人唏嘘

唉，这年头欠钱的堂而皇之变成了老大...

wu733 · 发表于 2025-12-19 01:39:11

gwaijyut 发表于 2025-12-19 01:32
你这是每个补丁都解开啊，查表对比更方便不是

习惯成自然了，就好像拳击运动员长期形成的肌肉记忆一样，改不过来了

wu733 · 发表于 2025-12-19 03:26:50

本帖最后由 wu733 于 2025-12-19 13:05 编辑

gwaijyut 发表于 2025-12-19 01:32
你这是每个补丁都解开啊，查表对比更方便不是

这个非安热修不是解压KB2990184，是KB3125574对此补丁的组件及文件更新，被我专门提取出来的。图三是被KB3125574更新的组件清单，图四、图五则是被KB3125574更新的文件清单

gwaijyut · 发表于 2025-12-19 06:19:54

wu733 发表于 2025-12-19 01:33
唉，这年头欠钱的堂而皇之变成了老大...

欠不欠钱他都是老大，因为他是伟光正。阳谋无解呀！

gwaijyut · 发表于 2025-12-19 06:24:58

wu733 发表于 2025-12-19 03:26
这个非安热修不是解压KB2990184，是KB3125574对此补丁的组件及文件更新。图三是被KB3125574更新的组件清 ...

我觉得对于部分游兵散勇，574 只是拿源码重新编译了一次，改了改版本号，毕竟它的最大目的是"便携打包"，不是"汇总升级"

wu733 · 发表于 2025-12-19 12:44:35

gwaijyut 发表于 2025-12-19 06:24
我觉得对于部分游兵散勇，574 只是拿源码重新编译了一次，改了改版本号，毕竟它的最大目的是"便携打包"， ...

我在250楼所阐述的 “KB3172605对CipherSuiteOrder.adml、olepro32.dll进行了最终更新(23452)，后续月度汇总对这两个文件未再更新”，有时间请复查
我确定没错

sn4735 · 发表于 2025-12-19 18:58:17

楼主太厉害了，总结出这么多依赖关系

wu733 · 发表于 2025-12-20 23:45:32

本帖最后由 wu733 于 2025-12-20 23:46 编辑

新增（原帖放不下了，暂时就搁在这里吧）：
三个IIS 7.0和7.5中的FTP服务补丁的取代路线（同样来自隔壁gwaijyut）：
KB2489256→KB2716513→KB2719033→KB4519976及以后的月度汇总

wu733 · 发表于 2025-12-21 03:15:42

本帖最后由 wu733 于 2026-4-11 20:16 编辑

新增无公告取代：
KB3046480 2015年03月19日迁移Microsoft.NET Framework 1.1到较新版本的Windows 被KB3071756无公告取代

如图一所示KB3046480中的4个组件：
_microsoft-windows-appid_31bf3856ad364e35_（实际安装版本21980）
_microsoft-windows-csrsrv_31bf3856ad364e35_（实际安装版本17273和21980）
_microsoft-windows-os-kernel_31bf3856ad364e35_（实际安装版本17795和21980）
_microsoft-windows-smss_31bf3856ad364e35_（实际安装版本17273和21980，6.1.7601和7.1.7601分属不同技术栈）

如图二所示KB3071756中的4个组件：
_microsoft-windows-appid_31bf3856ad364e35_（实际安装版本23136）
_microsoft-windows-csrsrv_31bf3856ad364e35_（实际安装版本18933和23136）
_microsoft-windows-os-kernel_31bf3856ad364e35_（实际安装版本18933和23136）
_microsoft-windows-smss_31bf3856ad364e35_（实际安装版本18933和23136，6.1.7601和7.1.7601分属不同技术栈）

很奇怪的是，首先、无论KB3046480，还是KB3071756，MUC均还提供下载。其次、它俩的Package Details中的取代关系均为空，这明显就是故意的了。

wu733 · 发表于 2026-1-1 10:53:42

本帖最后由 wu733 于 2026-1-1 20:23 编辑

更正：264楼的三个IIS 7.0和7.5中的FTP服务补丁的取代路线有误

首先，微软官网对这三个补丁的叙述如图一：KB2489256 in MS11-004 replaced by KB2716513 No bulletins replaced by KB2719033

经验证：

1、KB2716513取代了KB2489256，如图二

2、KB2719033与KB2716513、KB2489256两者并不是取代关系，如图三

3、KB2719033被月度汇总KB4519976及以后的汇总取代，如图四

那么，No bulletins replaced by KB2719033到底是什么意思？看来以后凡是都得验证，微软官方不靠谱的地方太多了

ygy413470244 · 发表于 2026-1-1 12:43:43

谢谢分享，新年快乐。

long363669954 · 发表于 2026-1-1 13:32:36

谢谢楼主分享

gwaijyut · 发表于 2026-1-1 17:59:00

wu733 发表于 2026-1-1 10:53
更正：265楼的三个IIS 7.0和7.5中的FTP服务补丁的取代路线有误

首先，微软官网对这三个补丁的叙述如图一 ...

哈哈，应该是 264 楼
KB2489256→KB2716513→KB2719033→KB4519976 这条线确实有误，感谢楼主指出

womwom · 发表于 2026-1-1 19:07:29

学习学习

wu733 · 发表于 2026-1-2 15:37:41

本帖最后由 wu733 于 2026-1-3 12:22 编辑

关于旧的22个非冗余.NET3.5.1补丁及其取代情况:
KB2604115 2012年01月05日.NET3.5.1补丁
KB2736422 2012年08月22日.NET3.5.1补丁
KB2742599 2012年10月06日.NET3.5.1补丁
KB2840631 2013年05月17日.NET3.5.1补丁
KB2861698 2013年07月13日.NET3.5.1补丁    取代了KB2836942
KB2894844 2013年11月04日.NET3.5.1补丁    取代了KB2656356、KB2836943（均为.NET3.5.1补丁）
KB2911501 2013年12月29日.NET3.5.1补丁
KB2931356 2014年03月06日.NET3.5.1补丁
KB2968294 2014年06月21日.NET3.5.1补丁
KB2943357 2014年07月03日.NET3.5.1补丁 10
KB2937610 2014年07月04日.NET3.5.1补丁    取代了KB2729452、KB2789645（均为.NET3.5.1补丁）
KB2972100 2014年07月11日.NET3.5.1补丁
KB2972211 2014年07月11日.NET3.5.1补丁
KB2973112 2014年07月15日.NET3.5.1补丁    最终被KB4054998推送取代
KB2978120 2014年09月10日.NET3.5.1补丁
KB3037574 2015年02月10日.NET3.5.1补丁
KB3023215 2015年02月15日.NET3.5.1补丁
KB3074543 2015年07月16日.NET3.5.1补丁
KB3072305 2015年08月04日.NET3.5.1补丁
KB3097989 2015年10月08日.NET3.5.1补丁 20
KB3122648 2015年12月09日.NET3.5.1补丁    最终被KB4054998推送取代
KB3127220 2015年12月24日.NET3.5.1补丁

PS：隔壁gwaijyut指出，KB4054998（分属于.NET汇总KB4055532_18.01）是最后一个同时推送取代KB2973112、KB3122648的，后续.NET3.5.1补丁自此掉了链子

LASTGL · 发表于 2026-1-2 17:46:23

UpdatePack7R2作者是乌克兰的，他还发文控诉过

Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总(持续更新中......)

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

点评

浏览过的版块

		自动登录	找回密码
密码			注册