以前用，自己写规则经常不起作用，而且找不到官方文档.....
但实际上来讲，McAfee的规则还是很难用的
现在总算是找到了文档(原来很多地方要用“**”而不是"*")

分隔符

','用于在匹配进程以及排除进程中进行分割，支持带路径的以及进程名

通配符

最重要的就是'*'以及'**'的区别，可以这么理解，'*'只是一级目录，'**'则表示多级目录。比方说'C:*'代表C盘根目录下能看到的所有文件夹以及文件，'C:**'则代表所有C盘下的东西
McAfee 8.8 规则设置之难，难于通配符而已。通配符之难，难于8.8不支持“？：\”表示任意盘符。以WINDOWS和Program Files文件夹为例，下面是文件夹的表示方法：

    *\WINDOWS：表示任意盘符下的WINDOWS文件夹（在“要阻止的进程”中无效）。
    **\WINDOWS：表示任意盘符下的WINDOWS文件夹（所有进程有效）。
    *\**\WINDOWS：表示任意盘符下的WINDOWS文件夹（所有进程有效）。

文件的通配符表示方法：

    *\WINDOWS\**：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（在“要阻止的进程”中无效）。
    **\WINDOWS\**：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（所有进程有效）。
    *\**\WINDOWS\**：表示任意盘符WINDOWS文件夹下多级目录中的所有文件（所有进程有效）。
    *\WINDOWS\**\*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）。
    **\WINDOWS\**\*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（所有进程有效）。
    *\**\WINDOWS\**\*.*：表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件（所有进程有效）。

文件夹名的通配符表示方法：

    Program Files*：表示Program Files文件夹以及其后有多个任意字符的文件夹，当然包括Program Files (x86)。
    PROGRA~?：？表示任意单个字符，当然包括1、2、3、4等。关于PROGRA~1，百度一下就知道了。
    *\Program Files*\**\*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（在“要阻止的进程”中无效）
    **\Program Files*\**\*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）
    *\**\Program Files*\**\*.*：表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件（所有进程有效）

要包含的进程通配符表示方法：

    *：表示所有进程。
    **：表示所有进程。
    *.*：表示所有带后缀的进程（解决System进程无法排除的问题）。

其它：?:以及*：单独表示根目录继续有效。
说明：经实践，以上语法在8.7i中同样有效

规则备份

需要在关闭软件自保护的情况下导出如下注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner

(导入时同样需要关闭软件自保护)