请教大家关于咖啡规则的几点疑问

rover369

我是用邪版的精简综合规则。遇到几个问题没搞明白，特请教大家。如下。
一：自定义规则中，AD  阻止C盘根目录下程序私自启动
触发日记：已由访问保护规则禁止 **\IGFXSRVC.EXE        C:\WINDOWS\Prefetch\IGFXSRVC.EXE-2FB63FE8.pf        用户定义的规则:AD 阻止C盘根目录下程序私自启动        已阻止的操作: 读取
1.这里，AD阻止C盘根目录下程序启动包含进程是C：\*，而IGFXSRVC.EXE是显卡相关程序，在system32、预读取文件夹和驱动文件夹等几个三四级目录中，为什么会触发这条规则？
2.为什么日记中显示的是**\IGFXSRVC.EXE而不是绝对路径？是因为几个目录中的IGFXSRVC.EXe同时触发了规则吗？
补充一下，这种情况并非只有这一个程序，好像windows下的程序和\Program Files都受影响，所以我必须要排除这两个文件夹。
二：和第一个问题相同，AD 阻止Program Files下程序私自启动 包含进程**\Program Files\**
触发日记：**\HH.EXE         C:\WINDOWS\SYSTEM32\MSCTFIME.IME        用户定义的规则:AD 阻止Program Files下程序私自启动        已阻止的操作: 读取。HH。exe是在windows和预读取文件夹里，为什么会触发AD 阻止Program Files下程序私自启动这条规则？也没有用绝对路径。这种情况还有**\FINEPLUS.EXE（这个是qq外挂的进程在E：\fp文件夹），**\NOTEPAD.EXE等程序。
三：**\PROGRA~1\**和**\Program Files\**，**\DOCUME~1\**和**\Documents and Settings\**的问题，我这里只有一个Documents and Settings这样以docume开头的文件夹，那么**\Documents and Settings\**应该是和**\DOCUME~1\**等同了吧，这两者还有什么区别吗？
系统文件夹中的程序和E盘program files中的程序运行时也会被检测为触发PROGRA~1这条规则，这是为什么？
四：\?\\**\Program Files\**,\??\**\windows\**，前边那几个问号代表什么意思呀？为什么前边有两个*号了还要加通配符？

卡巴扫key，嫌麻烦就卸了，换上咖啡，结果也不轻松

rover369

怎么没人赐教下涅…达人们都哪去了？

livv8

到顶置帖子里面找吧！
都有，还问

rover369

很感谢liw8兄的回答，我赶紧又到进版必读贴和精华帖看了次，依旧没有找到与此相关的帖子。也许是自己实在粗心。还请liw8兄能指名详细，给个链接。感激不尽！

livv8

顶置帖子有教程，下下来自己慢慢阅读[:26:]
在本区里面还有几个教程都下下来看下[:27:]
“气流”也有关于这方面的帖子啊，就在本版，自己找下