CN114329464A - 一种反病毒引擎检测方法、装置、电子设备及存储介质 - Google Patents
一种反病毒引擎检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114329464A CN114329464A CN202111503582.1A CN202111503582A CN114329464A CN 114329464 A CN114329464 A CN 114329464A CN 202111503582 A CN202111503582 A CN 202111503582A CN 114329464 A CN114329464 A CN 114329464A
- Authority
- CN
- China
- Prior art keywords
- virus
- file
- splicing
- preset
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明的实施例公开一种反病毒引擎检测方法、装置、电子设备及存储介质,涉及计算机网络安全技术领域,能够解决现有反病毒引擎检测方法对简单更改后的原恶意样本无法有效检出,造成漏检,对网络或设备产生威胁的问题。所述反病毒引擎检测方法包括对病毒特征库中的病毒文件按照预设分割阈值进行切片,将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则,对获取的待检测文件按照预设分割阈值进行切片,将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则,将文件规则与病毒规则进行匹配,根据匹配结果判断待检测文件是否为病毒文件,本发明通过切片处理后进行检测,可以提升病毒检出率。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种反病毒引擎检测方法、装置、电子设备及存储介质。
背景技术
现有反病毒厂商通常将检测判定规则置于后端平台,将判定结果置于后端平台的特征库中,在使用反病毒引擎对样本进行检测时,将样本与判定规则进行匹配,输出判定结果,若匹配成功,判定结果为恶意样本,则将该恶意样本加入后端平台的特征库中,传统的反病毒引擎在处理优先级较高且不方便提取特征的样本会计算该样本的hash,将该hash作为特征来对该样本进行检测。但病毒作者可以通过更改恶意样本文件中无关紧要的字节,或者在文件尾部添加任意的字节,使得hash值发生变化,就会使反病毒引擎后端平台中的判定规则与更改后的恶意样本对应的hash值匹配不成功,导致更改后的恶意样本跳过反病毒引擎,造成漏检,对网络或设备产生威胁。
发明内容
有鉴于此,本发明实施例提供一种反病毒引擎检测方法、装置、电子设备及存储介质,以解决现有反病毒引擎检测方法对简单更改后的原恶意样本无法有效检出,造成漏检,对网络或设备产生威胁的问题。
第一方面,本发明实施例提供一种反病毒引擎检测方法,应用于电子设备,包括:
对病毒特征库中的病毒文件按照预设分割阈值进行切片;
将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则;
对获取的待检测文件按照所述预设分割阈值进行切片;
将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则;
将所述文件规则与所述病毒规则进行匹配,根据匹配结果判断所述待检测文件是否为病毒文件。
根据本发明实施例的一种具体实现方式,所述对病毒特征库中的病毒文件按照预设分割阈值进行切片,包括:
计算每个病毒文件的摘要值;
将每个病毒文件的摘要值按照预设分割阈值进行切片。
根据本发明实施例的一种具体实现方式,所述将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则,包括:
取每个病毒文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则。
根据本发明实施例的一种具体实现方式,所述对获取的待检测文件按照所述预设分割阈值进行切片,包括:
计算每个待检测文件的摘要值;
将每个待检测文件的摘要值按照预设分割阈值进行切片。
根据本发明实施例的一种具体实现方式,所述将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则,包括:
取每个待检测文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则。
根据本发明实施例的一种具体实现方式,所述预设分割阈值,包括:
1024字节及1024的偶数倍字节。
根据本发明实施例的一种具体实现方式,所述将所述文件规则与所述病毒规则进行匹配,根据匹配结果判断所述待检测文件是否为病毒文件,包括:
设置篡改阈值;
若所述文件规则与所述病毒规则匹配成功的数量达到所述篡改阈值,则判定所述待检测文件为病毒文件。
第二方面,本发明实施例提供一种反病毒引擎检测装置,包括:
第一切片模块,用于对病毒特征库中的病毒文件按照预设分割阈值进行切片;
第一拼接模块,用于将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则;
第二切片模块,用于对获取的待检测文件按照所述预设分割阈值进行切片;
第二拼接模块,用于将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则;
匹配模块,用于将所述文件规则与所述病毒规则进行匹配,根据匹配结果判断所述待检测文件是否为病毒文件。
根据本发明实施例的一种具体实现方式,还包括:
第一计算模块,用于计算每个病毒文件的摘要值;
第二计算模块,用于计算每个待检测文件的摘要值。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的反病毒引擎检测方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的反病毒引擎检测方法。
本发明实施例提供的一种反病毒引擎检测方法、装置、电子设备及存储介质,通过对病毒特征库中的病毒文件按照预设分割阈值进行切片,将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则,对获取的待检测文件按照预设分割阈值进行切片,将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则,将文件规则与病毒规则进行匹配,根据匹配结果判断待检测文件是否为病毒文件,能够有效解决现有反病毒引擎检测方法对简单更改后的原恶意样本无法有效检出,造成漏检,对网络或设备产生威胁的问题,通过切片处理后进行检测,可以提升病毒检出率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的实施例一反病毒引擎检测方法的流程图;
图2为本发明的实施例二反病毒引擎检测方法的流程图;
图3为本发明的实施例一反病毒引擎检测装置的功能结构图;
图4为本发明的一个实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本实施例提供一种反病毒引擎检测方法,以解决现有反病毒引擎检测方法对简单更改后的原恶意样本无法有效检出,造成漏检,对网络或设备产生威胁的问题。
图1为本发明实施例一的反病毒引擎检测方法的流程示意图,如图1所示,本实施例的反病毒引擎检测方法应用于电子设备。
本实施例的反病毒引擎检测方法可以包括:
步骤101、对病毒特征库中的病毒文件按照预设分割阈值进行切片;
本实施例中,病毒特征库可以为已有病毒特征库,本申请对病毒文件的来源不做限定。
步骤102、将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则;
步骤103、对获取的待检测文件按照预设分割阈值进行切片;
步骤104、将切片后的待检测文件按照预设拼接策略进行拼接得到文件规则;
步骤105、将文件规则与病毒规则进行匹配,根据匹配结果判断待检测文件是否为病毒文件。
传统的反病毒引擎在处理优先级较高且不方便提取特征的样本会计算该样本的hash,将该hash作为特征来对该样本进行检测。但病毒作者可以通过更改恶意样本文件中无关紧要的字节,或者在文件尾部添加任意的字节,使得hash值发生变化,就会使反病毒引擎后端平台中的判定规则与更改后的恶意样本对应的hash值匹配不成功,导致更改后的恶意样本跳过反病毒引擎,造成漏检,对网络或设备产生威胁。
本实施例中,通过对病毒特征库中的病毒文件按照预设分割阈值进行切片,将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则,对获取的待检测文件按照预设分割阈值进行切片,将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则,将文件规则与病毒规则进行匹配,根据匹配结果判断待检测文件是否为病毒文件,能够有效解决现有反病毒引擎检测方法对简单更改后的原恶意样本无法有效检出,造成漏检,对网络或设备产生威胁的问题,通过切片处理后再进行检测,可以提升病毒检出率。
图2为本发明实施例二的反病毒引擎检测方法的流程图,如图2所示,本实施例的反病毒引擎检测方法可以包括:
步骤201、计算每个病毒文件的摘要值;
本实施例中,摘要值例如通过MD5计算得到。
步骤202、将每个病毒文件的摘要值按照预设分割阈值进行切片;
本实施例中,预设分割阈值例如为,1024字节及1024的偶数倍字节,如1024字节,2048字节,4096字节等,通过对摘要值进行切片后再拼接,在不完全匹配时也可以检出,提升病毒检出率。
步骤203、取每个病毒文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则;
例如,选取摘要值前2位,即使病毒作者更改病毒文件中无关紧要的字节,或者在文件尾部添加任意的字节也不会造成摘要值前面位数改变,通过舍弃后面位数的摘要值,实现在不完全匹配时也可以检出,提升病毒检出率。
步骤204、计算每个待检测文件的摘要值;
步骤205、将每个待检测文件的摘要值按照预设分割阈值进行切片;
步骤206、取每个待检测文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则;
由于待检测文件的切片方法与病毒文件的切片方法相同,拼接策略相同,因此,可以准确检出病毒文件。
步骤207、设置篡改阈值;
步骤208、将文件规则与病毒规则进行匹配,若文件规则与病毒规则匹配成功的数量达到篡改阈值,则判定待检测文件为病毒文件。
例如篡改阈值为4,则在四处待检测文件切片与病毒文件切片不同时,判定待检测文件为非病毒文件,否则,判定待检测文件为病毒文件。
本实施例中,对病毒文件进行特定规律的切片操作,获取每个切片的摘要,对摘要进行拼接,对拼接后的字符串作为后置检测规则,录入后置规则库;另一方面,对待检测文件进行与病毒文件相同的处理,之后将文件规则与所述病毒规则进行匹配,如果不匹配数量不超过篡改阈值,则视该待检测文件为该条规则录入病毒文件的篡改文件,对待检测文件进行检出,从而识别出被篡改的原病毒文件,提升检出率。
通过图1、图2中所示方法实施例的技术方案,本申请不仅可以适用于识别被简单篡改后的病毒文件进行检测的场景,还可以提升病毒检出率。
图3为本发明反病毒引擎检测装置实施例一的结构示意图,如图3所示,本实施例的装置可以包括:
第一切片模块31,用于对病毒特征库中的病毒文件按照预设分割阈值进行切片;
第一拼接模块32,用于将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则;
第二切片模块33,用于对获取的待检测文件按照该预设分割阈值进行切片;
第二拼接模块34,用于将切片后的待检测文件按照该预设拼接策略进行拼接得到文件规则;
匹配模块35,用于将文件规则与病毒规则进行匹配,根据匹配结果判断待检测文件是否为病毒文件。
一些实施例中,还包括:
第一计算模块36,用于计算每个病毒文件的摘要值;
第二计算模块37,用于计算每个待检测文件的摘要值。
第一切片模块31还用于将每个病毒文件的摘要值按照预设分割阈值进行切片。
第一拼接模块32还用于取每个病毒文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到文件规则。
第二切片模块33还用于将每个待检测文件的摘要值按照预设分割阈值进行切片。
第二拼接模块34还用于取每个待检测文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则。
匹配模块35还被配置为:设置匹配失效阈值;若文件规则与病毒规则匹配成功的数量达到匹配失效阈值,则判定待检测文件为病毒文件。
本实施例的装置,可以用于执行图1、图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本发明电子设备一个实施例的结构示意图,可以实现本发明图1、图2所示实施例的流程,如图4所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的反病毒引擎检测方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1、图2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的反病毒引擎检测方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种反病毒引擎检测方法,其特征在于,应用于电子设备;所述方法包括:
对病毒特征库中的病毒文件按照预设分割阈值进行切片;
将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则;
对获取的待检测文件按照所述预设分割阈值进行切片;
将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则;
将所述文件规则与所述病毒规则进行匹配,根据匹配结果判断所述待检测文件是否为病毒文件。
2.根据权利要求1所述的反病毒引擎检测方法,其特征在于,所述对病毒特征库中的病毒文件按照预设分割阈值进行切片,包括:
计算每个病毒文件的摘要值;
将每个病毒文件的摘要值按照预设分割阈值进行切片。
3.根据权利要求2所述的反病毒引擎检测方法,其特征在于,所述将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则,包括:
取每个病毒文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则。
4.根据权利要求1所述的反病毒引擎检测方法,其特征在于,所述对获取的待检测文件按照所述预设分割阈值进行切片,包括:
计算每个待检测文件的摘要值;
将每个待检测文件的摘要值按照预设分割阈值进行切片。
5.根据权利要求4所述的反病毒引擎检测方法,其特征在于,所述将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则,包括:
取每个待检测文件切片的摘要值前预设位数,将前预设位数的摘要值进行拼接得到病毒规则。
6.根据权利要求1~5任一项所述的反病毒引擎检测方法,其特征在于,所述预设分割阈值,包括:
1024字节及1024的偶数倍字节。
7.根据权利要求1所述的反病毒引擎检测方法,其特征在于,所述将所述文件规则与所述病毒规则进行匹配,根据匹配结果判断所述待检测文件是否为病毒文件,包括:
设置篡改阈值;
若所述文件规则与所述病毒规则匹配成功的数量达到所述篡改阈值,则判定所述待检测文件为病毒文件。
8.一种反病毒引擎检测装置,其特征在于,包括:
第一切片模块,用于对病毒特征库中的病毒文件按照预设分割阈值进行切片;
第一拼接模块,用于将切片后的病毒文件按照预设拼接策略进行拼接得到病毒规则;
第二切片模块,用于对获取的待检测文件按照所述预设分割阈值进行切片;
第二拼接模块,用于将切片后的待检测文件按照所述预设拼接策略进行拼接得到文件规则;
匹配模块,用于将所述文件规则与所述病毒规则进行匹配,根据匹配结果判断所述待检测文件是否为病毒文件。
9.根据权利要求8所述的反病毒引擎检测装置,其特征在于,还包括:
第一计算模块,用于计算每个病毒文件的摘要值;
第二计算模块,用于计算每个待检测文件的摘要值。
10.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1~7任一项所述的反病毒引擎检测方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1~7任一项所述的反病毒引擎检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111503582.1A CN114329464A (zh) | 2021-12-09 | 2021-12-09 | 一种反病毒引擎检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111503582.1A CN114329464A (zh) | 2021-12-09 | 2021-12-09 | 一种反病毒引擎检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114329464A true CN114329464A (zh) | 2022-04-12 |
Family
ID=81051160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111503582.1A Pending CN114329464A (zh) | 2021-12-09 | 2021-12-09 | 一种反病毒引擎检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114329464A (zh) |
-
2021
- 2021-12-09 CN CN202111503582.1A patent/CN114329464A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108875364B (zh) | 未知文件的威胁性判定方法、装置、电子设备及存储介质 | |
CN111030968A (zh) | 一种可自定义威胁检测规则的检测方法、装置及存储介质 | |
CN110866248A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN109858249B (zh) | 移动恶意软件大数据的快速智能比对和安全检测方法 | |
CN111027064A (zh) | 一种Linux平台下挖矿病毒防护及清除方法、装置及存储设备 | |
CN114372297A (zh) | 一种基于消息摘要算法校验文件完整性的方法及装置 | |
CN114282212A (zh) | 流氓软件识别方法、装置、电子设备及存储介质 | |
CN111265860B (zh) | 游戏存档处理方法、装置、终端设备及可读存储介质 | |
CN110737894B (zh) | 复合文档安全检测方法、装置、电子设备及存储介质 | |
CN114338102B (zh) | 安全检测方法、装置、电子设备及存储介质 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN114329464A (zh) | 一种反病毒引擎检测方法、装置、电子设备及存储介质 | |
CN111027065A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN115906081A (zh) | 恶意样本文件检测方法、装置、服务器、电子设备及存储介质 | |
CN114003907A (zh) | 恶意文件检测方法、装置、计算设备及存储介质 | |
CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
CN111695116A (zh) | 基于Linux***内核层Rootkit的取证方法与装置 | |
CN110875919B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN115964708A (zh) | 防误报的自动化特征提取方法、装置、电子设备及存储介质 | |
CN110825701A (zh) | 一种文件类型确定方法、装置、电子设备及可读存储介质 | |
CN114417331A (zh) | 病毒特征可信度的确定方法、装置、电子设备及存储介质 | |
CN116010927A (zh) | 一种数字签名证书检测方法及装置 | |
CN111967043B (zh) | 确定数据相似度的方法、装置、电子设备及存储介质 | |
CN111797392B (zh) | 一种控制衍生文件无限分析的方法、装置及存储介质 | |
CN114238969A (zh) | 一种宏病毒的检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |