Una solución sería utilizar una utilidad como ngrep (http://ngrep.sourceforge.net/usage.html) y pásale el archivo .pcap junto con una expresión regular.
EX: ngrep -q -I file.pcap|grep -i user
Se puede encontrar un ejemplo de esto en la web AQUÍ
Fragmento de trustwave.com
5) Busca cadenas de texto usando ngrep
Esto es útil para buscar cualquier cadena específica o expresión regular que desee, por ejemplo,
busque "contraseña", "tarjeta", "nombre de usuario", etc.
FTP, HTTP o contraseñas POP como ejemplos. Aunque esto es un simple
por ejemplo, ngrep puede usarse para expresiones regulares complejas.
ngrep -q -I file.pcap | grep -i usuario
por ejemplo
.......... < TRUNCADO > ..........
en "id=" secure_username "name=" username "value=" "/ > ......
.......... < TRUNCADO > ..........
6) Encuentra correos electrónicos usando ngrep ...
Qué expresión regular usar:
Recomendaría aprender a elaborar expresiones regulares si aún no lo ha hecho, ya que son muy útiles.
(No probado): ~JOIN
EDITAR: Si debe usar wireshark y no ngrep, entonces creo que wireshark usa expresiones regulares de estilo perl