本文禁止轉(zhuǎn)載
經(jīng)過多日探索，暫時找到了兩種比較可靠的提取驅(qū)動IOCTL code的途徑，以下對具體執(zhí)行過程進行簡介，并針對優(yōu)缺點進行分析：

1. IDA逆向sys方式
   操作流程：IDA反匯編具體的.sys文件，使用IDA插件win_driver_plugin可以精確定位至DispatchFunction，然后通過閱讀代碼提取出IOCTL code.
   優(yōu)點：理論上可以提取出所有的有效IOCTL code值。
   缺點：如何通過一個設備名或符號鏈接名具體定位到sys文件（我是通過內(nèi)核調(diào)試找），另外對于匯編水平以及IDA的操作也有一定要求，對于一些比較復雜的sys文件，本方法查找起來比較困難。
2. 腳本遍歷
   操作流程：調(diào)用DeviceIOControl方法對IOCTL Code從0x0-0xffffffff進行遍歷，通過檢查返回值來判定IOCTL Code是否有效。實踐證明本方法可以獲得絕大多數(shù)有效IOCTL code.
   優(yōu)點：腳本執(zhí)行，等待即可，操作簡便。
   缺點：由于某些IOCTL Code的執(zhí)行對于inputbuffer或者outputbuffer有一定要求，本方法不一定能獲得全部的有效IOCTL code值。另外執(zhí)行時間比較長，我嘗試一次遍歷大概需要五個多小時（這一點可以在后續(xù)對代碼進行優(yōu)化，考慮通過異步IO等方式對代碼進行優(yōu)化，一定程度上應該能節(jié)省很多時間）
   最后附上遍歷腳本：

import ctypes, sys
from ctypes import *
  
kernel32 = windll.kernel32
hevDevice = kernel32.CreateFileA("\\\\.\\SymbolicNameofDriver", 0xC0000000, 0, None, 0x3, 0, None)
if not hevDevice or hevDevice == -1:
    print("*** Couldn't get Device Driver handle.")
    sys.exit(0)
  
inbuf = 'A'*16
outbuf = 'A'*16
bufLength = len(inbuf)
iofile = open("ioctl.txt","wb")

i = 0xffffffff
while i > 0:
    a = kernel32.DeviceIoControl(hevDevice, i, inbuf, bufLength, outbuf, bufLength, byref(c_ulong()), None)
    if(a != 0):
        iofile.write("0x%x"%i)
    i-=1
iofile.close()