Varia a seconda di come il particolare software applica le sue licenze.
Prendiamo un caso complesso - Atlassian Confluence. È un sistema software complesso con più componenti. Confluence stesso ha una licenza e anche i plugin al suo interno hanno una licenza.
Non sorprende che esista un "percorso" software che permette a un'istanza on-premises di Confluence di accettare licenze "false", sia per le proprie licenze che per qualsiasi plugin.
Come si può sapere se le licenze attualmente installate sono reali o se il software è alterato? Aggiornare l'istanza e vedere se funziona ancora è un buon approccio nella maggior parte dei casi. Se uno ha aggiornato tale Confluence incrinato, aggiorna il codice che verifica la validità della licenza richiedendo così ad un attaccante di "percorrerlo" di nuovo.
Se l'aggiornamento è troppo complesso, vedere le informazioni sulla licenza effettiva. Se è concesso in licenza a qualche "PWN TEAM" o qualche altro nome che assomiglia molto a un gruppo di pirateria software - molto probabilmente è craccato.