Win7 SP1集成补丁过程的取代、衍生和依存关系归纳汇总(持续更新中......)

gwaijyut

wu733 发表于 2025-12-16 00:21
“关键这货没法正常卸载，一旦安装就自动固化，能少一个是一个”
这时就要采用邪修的办法了，比如KB4490 ...

是的，可以用这个方法。维护的时候常常会用到，全新安装就能免则免吧。与其后期卸载，不如干脆不装。维护不一样，你总能遇到一些天马行空的人，不走寻常路就是个笑话，他是直接要上天

deuteros_gex

这是大工程啊

womwom

感谢分享

wu733

gwaijyut 发表于 2025-12-15 23:44
哈哈，又绕到 KB4490628 身上了。
KB3020369、KB4490628
把 KB3172605 的前置换成 KB5071810 也是可以 ...

疑问：
KB3042058  2015年04月19日默认密码套件顺序更新，官网注明这货属于安全更新，见图1以及官网支持信息
KB3172605  2016年09月09日更新汇总<仅质量改进，非安全改进和修复，常规维护例程>，官网注明这货属于非安全更新，见图2，官网支持信息


问题来了，既然KB3172605属于非安全性更新汇总，那么一个非安全性更新又怎么能够取代一个安全更新呢？

带着疑惑，再次解剖这两货，以及用记事本一个一个打开补丁文件夹中的.mum，查看是否有注册表添加项目，结果表明KB3042058补丁文件夹中的所有.mum并无注册表添加项。

继续查找原因，发现KB3042058中的五个组件跟安全有关（也就是跟密码套件顺序有关）如下：
1、_microsoft-windows-security-credssp_31bf3856ad364e35_
2、_microsoft-windows-security-digest_31bf3856ad364e35_
3、_microsoft-windows-security-kerberos_31bf3856ad364e35_
4、_microsoft-windows-security-ntlm_31bf3856ad364e35_
5、_microsoft-windows-security-schannel_31bf3856ad364e35_


又继续解开KB3172605文件夹，其中也有如上同样五个跟安全有关的组件，见图3


惊天结论：根据图3中两个补丁文件夹的比较，KB3172605这货竟然包含了安全性更新内容！而非官方注明的非安全改进和修复。我感觉大家都被微软玩弄于股掌之间

gwaijyut

wu733 发表于 2025-12-16 18:12
疑问：
KB3042058  2015年04月19日默认密码套件顺序更新，官网注明这货属于安全更新，见图1以及官网支持 ...

啊？？不是这么对应的。你这是把概念和功能混为一谈了。
“安全”本身的含义比较宽泛。在你这个案例中，涉及到的公共动态库，是具体的功能实现。某个动态库的升级，可能涉及到具体的“安全”，也可能仅仅是质量上的改进，比如提供更丰富的接口。
更具体一点，wdigest.dll 的第一次升级跟“安全”有关，这可能是它提供的其中一个函数有问题，升级后被修复；
第二次升级，则可能仅仅是因为它提供的某个接口效率低下，那么，继承上次修复，做质量改进，就跟“安全”无关了。
从理论上说，每个动态链接库，都有可能涉及到“安全”问题，而对动态库的升级，不一定都跟“安全”相关。

题外话，mum 文件对补丁的类型有申明，也就是对补丁做了归类。在第 5 行上下，具体哪一行我忘了。releasetype = “xxxxxx” 这条

gudezheng

很给力!

wu733

将取代关系中的 “文件取代” 修改为 “组件取代”

wu733

附上KB3172605的官网资料：

2016年7月21日更新汇总KB3172605，KB3172605更新于2016年9月进行了修订，前置为2015年04月服务堆栈更新 (KB3020369)

This update includes quality improvements. No new operating system features are being introduced and no new security updates are included. Key changes include:

1、Improved support in Microsoft Cryptographic Application Programming Interface (CryptoAPI) to help identify websites that use Secure Hash Algorithm 1 (SHA-1).

2、Addressed issue in Microsoft Secure Channel (SChannel) that sometime causes Transport Layer Security (TLS) 1.2 connections to fail depending on whether the root certificate is configured as part of the certificate chain for server authentication.

此更新包括质量改进。未引入任何新的操作系统功能

并且未包含任何新的安全更新。主要更改包括：

1、改进了 Microsoft 加密应用程序编程接口 (CryptoAPI) 中的支持，以帮助识别使用安全哈希算法 1 (SHA-1) 的网站。

2、解决了 Microsoft 安全通道 (SChannel) 中的问题，该问题有时会导致传输层安全 (TLS) 1.2 连接失败，具体取决于根证书是否配置为服务器身份验证证书链的一部分。

Package Details取代列表:
This update replaces the following updates:
用于基于 x64 的系统的 Windows 7 更新程序 (KB2973337)   2014年05月31日TLS1.2与SHA512兼容性修复
用于基于 x64 的系统的 Windows 7 更新程序 (KB3156417)   2016年5月更新汇总
用于基于 x64 的系统的 Windows 7 更新程序 (KB3139923)   2016年04月16日HTTP共享安装MSI失败
用于基于 x64 的系统的 Windows 7 更新程序 (KB3040272)   2015年04月28日新增Windows语言包之后启动时间增加

以及支持页面申明取代1个，官方支持信息页面，见图一：
KB3161608    2016年06月20日更新汇总KB3161608

由于KB3161608会导致Intel蓝牙设备失效。且KB3161608被KB3172605完全取代，于是KB3172605继承了会导致Intel蓝牙设备失效的这个特征。

wu733

KB3172605的非官方资料：

KB3172605替换以下补丁:
Windows 7 更新程序 (KB2639308) - 2011年11月21日支持ASLR(地址空间布局随机化)新功能，IE11相关
Windows 7 更新程序 (KB2661254) - 最小证书密钥长度更新
Windows 7 更新程序 (KB2677070) - 2012年04月25日让已泄露或某种程度上不受信任的证书被专门标记为不受信任
Windows 7 更新程序 (KB2679255) - 2012年03月17日当内存范围由SetFileIoOverlappedRange函数访问时，SQL Server数据损坏以及I / O操作
Windows 7 更新程序 (KB2699779) - 2012年06月01日安装使用多程序包安装的应用程序时可能会失败
Windows 7 更新程序 (KB2732500) - 2012年09月11日使用系统恢复还原系统时，收到错误消息“E_UNEXPECTED 0x8000ffff”
Windows 7 更新程序 (KB2749655) - 2012年08月25日Microsoft生成和签名的文件上的特定数字签名将过早过期，导致没有适当的时间戳属性
Windows 7 更新程序 (KB2923398) - 2014年01月04日使用SMB v2访问远程共享文件夹时，远程桌面会话可能会停止响应
Windows 7 更新程序 (KB2973337) - 2014年05月31日当使用TLS1.2时，SHA512在Windows中禁用
Windows 7 更新程序 (KB3000988) - 2014年09月19日安装 MSI 程序包提示"用户的配置文件是一个临时配置文件"的错误
Windows 7 更新程序 (KB3004394) - 2014年12月16日紧急的受信任的根证书更新
Windows 7 更新程序 (KB3008627) - 2014年10月15日安装更新KB2918614之后，用户帐户控制(UAC) 出现意外提示
Windows 7 更新程序 (KB3020338) - 2014年11月27日应用更新KB3006226之后，调用SafeArrayRedim函数的应用程序无法正常工作
Windows 7 更新程序 (KB3040272) - 2015年04月28日新增Windows语言包之后启动时间增加
Windows 7 更新程序 (KB3075249) - 2015年06月26日将遥测点添加到consent.exe，被后续月度汇总覆盖
Windows 7 更新程序 (KB3139923) - 2016年04月16日Windows安装程序（MSI）修复在Windows中的HTTP共享上安装MSI软件包时不起作用
Windows 7 更新程序 (KB3156417) - 2016年05月更新汇总

wu733

选择KB3042058，还是KB3172605，还真是仁者见仁智者见智了

KB3172605对CipherSuiteOrder.adml进行了最终更新(23452)，后续月度汇总对这个文件未再更新。这是不打KB3172605，WU会推送KB3172605的根本原因。

也许采用覆盖大法是解决此纠结的最佳解决办法，比较严谨的做法是：

选择KB3042058，在安装完所有旧补丁，未打月度汇总之前，将23452版的CipherSuiteOrder.adml替换系统中的同样文件：C:\Windows\PolicyDefinitions\zh-CN\CipherSuiteOrder.adml，并且替换C:\Windows\winsxs下组件_microsoft-windows-c..order-adm.resources_31bf3856ad364e35_文件夹下的文件，见图，最后再替换对应.manifest文件、修改注册表中KB3042058所对应的文件版本信息


更正：KB3172605只对CipherSuiteOrder.adml进行了最终更新(23452)，olepro32.dll已验证被月度汇总KB4534310更新到24537版，人力不足啊

renshijian

虽然我看不懂说什么，但看起来很厉害的样子。留个名！

wu733

gwaijyut 发表于 2025-12-17 10:05
啊？？不是这么对应的。你这是把概念和功能混为一谈了。
“安全”本身的含义比较宽泛。在你这个案例中， ...

两天未见人影，被老婆大人责令守门面去了？

promrhxq

感谢分享好东东

wu733

关于非安热修补丁KB2990184：


KB2990184   2015年03月20日在Win7或 Server08 R2中，无法将符合FIPS标准的恢复密码保存到启用了BitLocker的Active Directory域服务(AD DS).

此非安热修补丁中的BitLocker驱动器加密组件被KB3125574进行了最终更新，后续月度汇总KB4534310未再更新。详情见图一、图二、图三、图四、图五

gwaijyut

wu733 发表于 2025-12-18 19:01
两天未见人影，被老婆大人责令守门面去了？

哈哈，这不是快过年了，忙着要钱，结果大不如意，令人唏嘘

gwaijyut

wu733 发表于 2025-12-18 22:02
关于非安热修补丁KB2990184：

你这是每个补丁都解开啊，查表对比更方便不是

wu733

gwaijyut 发表于 2025-12-19 01:30
哈哈，这不是快过年了，忙着要钱，结果大不如意，令人唏嘘

唉，这年头欠钱的堂而皇之变成了老大...

wu733

gwaijyut 发表于 2025-12-19 01:32
你这是每个补丁都解开啊，查表对比更方便不是

习惯成自然了，就好像拳击运动员长期形成的肌肉记忆一样，改不过来了

wu733

gwaijyut 发表于 2025-12-19 01:32
你这是每个补丁都解开啊，查表对比更方便不是

这个非安热修不是解压KB2990184，是KB3125574对此补丁的组件及文件更新。图三是被KB3125574更新的组件清单，图四、图五则是被KB3125574更新的文件清单

gwaijyut

wu733 发表于 2025-12-19 01:33
唉，这年头欠钱的堂而皇之变成了老大...

欠不欠钱他都是老大，因为他是伟光正。阳谋无解呀！

gwaijyut

wu733 发表于 2025-12-19 03:26
这个非安热修不是解压KB2990184，是KB3125574对此补丁的组件及文件更新。图三是被KB3125574更新的组件清 ...

我觉得对于部分游兵散勇，574 只是拿源码重新编译了一次，改了改版本号，毕竟它的最大目的是"便携打包"，不是"汇总升级"