Varía dependiendo de cómo la pieza de software en particular hace cumplir su licencia.
Tomemos un caso complejo - Atlassian Confluence. Es un sistema de software complejo con múltiples componentes. El propio Confluence tiene licencia y los plugins dentro de él también tienen licencia.
No es de extrañar que exista una "ruta" de software que permite que una instancia local de Confluence acepte licencias "falsas", tanto para las propias licencias, como para cualquier plugin.
¿Cómo se podría saber si las licencias actuales instaladas son reales o la pieza de software está alterada? Actualizar la instancia y ver si sigue funcionando es una buena aproximación en la mayoría de los casos. Si uno actualiza tal Confluence agrietado, se actualiza el código que verifica la validez de la licencia por lo que requiere un atacante para "camino" de nuevo.
Si la actualización es demasiado complejo, ver la información de la licencia real. Si está licenciado por algún "PWN TEAM" o algún otro nombre que se parezca mucho a un grupo de piratería de software - lo más probable es que esté crackeado.