Возможно, вам повезет больше, если использовать Snort для анализа файла захвата пакета. В дополнение к инструменту сниффинга, он обеспечивает обнаружение вторжений и анализ сигнатур и более ориентирован на тот тип анализа, который вы ищете, тогда как Wireshark - это (очень хороший) чистый сетевой анализатор.
Я не использовал его в этом качестве (только в качестве сниффера), но я знаю, что он позволяет анализировать прошлые записи, и, если пересмотреть документы только сейчас, похоже, что они, скорее всего, будут делать то, что вы хотите делать.
Может ли он идентифицировать реальные 0-дневные эксплойты, это другой вопрос, который зависит от того, насколько быстро они обновляют / выпускают свои подписи, но большинство сценаристов не используют 0-дневный режим.
ETA : Похоже, что они требуют учетную запись в настоящее время, но также кажется, что, по крайней мере для обычных учетных записей, они бесплатны. Похоже, что они также предлагают услугу подписки, но, как мы надеемся, файлы сигнатур зарегистрированных пользователей достаточно актуальны, чтобы идентифицировать атаку.