Нужно прочесть все записи системного журнала и показать их пользователю в читаемом виде, собственно с чтением всего, что читается через операцию доступа (-> ) проблем нет, косяки с доставанием данных, на которые надо еще найти указатель, а именно этими:
для того что бы мы смогли получить доступ к этим данным, у нас есть смещение в байтах от начала структуры, для Strings,UserSid и Data. Для SourceName и ComputerName у нас смещениев нет, но знаем что первая расположена строго после DataOffset и оканчивается нулем, вторая же расположена строго после первой и так же оканчивается нулем.
вот это, похоже дает нам SourceName, на выходе получаем то, что ответственно за добавление события (например MsiInstaller), так что я почти уверен, что это оно и есть ,
с указателями у меня на базовом уровне (знаю что это и простенькие операции с ними умею делать), поэтому это для меня вот это все явилось камнем преткновения.
Буду очень рад всякого рода помощи (код-пример, статья по теме или даже готовое решение ).
если что, пишу на билдере.
__________________
кто к нам с чем зачем, тот от того и того...