我认为有几种方法可以到达你想要的地方。鉴于您在完全更新的系统上拥有 KB 补丁的情况。要恢复到以前的版本，请卸载该补丁。

使用的 Metasploit Unleashed 类（仍然使用？）具有用于卸载所有补丁的 XP 命令：

C:\>dir /a /b c:\windows\$ntuninstallkb* > kbs.txt && for /f %i in (kbs.txt) do cd c:\windows\%i\spuninst && spuninst.exe /passive /norestart && ping -n 15 localhost > nul

我认为另一种方法是安装一个完全未打补丁的操作系统版本（例如从没有服务包的 MSDN 安装）。从这里，您可以提取基本文件。对于补丁版本，MSFT 每个月都会提供一个带有补丁的 ISO。您可以从这里提取打过补丁的可执行文件。例如，下面是从本月的安全更新的ISO。

VMWare 提供了一个非常有用的快照功能，这使得在同一 VM 的不同状态之间切换变得非常简单。您可以使用 VIX 自动执行此过程。
我假设其他 VM 解决方案也有类似的东西。

我不是 100% 确定我理解你的问题，但我会尽力回答。

首先，我将为您要定位的 Windows 版本准备 VM。每天您都可以创建一个快照，这意味着您可以在未来的任何日期回到那个时间点。大多数虚拟机都支持快照。然后我会在虚拟机上运行 Windows 更新。这意味着随着时间的推移，您将构建大量 Microsoft DLL 版本的目录。您也可以从 Microsoft 符号服务器中提取二进制文件及其 PDB，但这需要我知道它们的哈希值。

现在，您将遵循Microsoft 安全公告。选择您感兴趣的产品并仅选择最新的补丁。研究安全公告文章。如果发现安全公告很有趣，您可以转到安全公告中链接的知识库文章。在那里您可以研究修补了哪些文件。如果您仍然对它感兴趣，您可以从安全公告页面下载补丁。

获得补丁文件后，需要使用以下命令之一进行提取：

。可执行程序

setup.exe /t:C:[dest_dir] /c

.msu

expand -F:* [update_filename.msu] C:[tmp_dest_dir]

cd [tmp_dest_dir]

expand -F:* [extracted_update_filename.cab] C:[final_dest_dir]

.msp

msix [update_filename.msp] /out C:[dest_dir]

.msi

msiexec /a [update_filename.msi] /qb TARGETDIR=C:[target_dir]

在提取的文件夹中，您应该可以找到知识库文章中指示的文件。如果您一直遵循正确的快照策略，那么今天早上创建的快照中应该有一个旧版本可用。从虚拟机中拉出该版本并使用BinDiff以探索差异。