Das ist 'Security by Obscurity' und damit der schlechteste Begleiter der Sicherheit. Fang gar nicht erst an, so zu denken.

Wenn man sich ein halbwegs sicheres Verfahren ausdenkt, dann sollte es das, mit vertretbarem Aufwand zu erreichende, beste Verfahren sein, das man bekommen kann. Wenn der TE schon Geld ausgeben würde, dann ist deine Empfehlung nicht gerade zielführend.

Die Sache mit der Mac-Adresse ist auch blöd: Ich nehme einfach eine VM und weise ihr eine statische Adresse zu. Ich muss nur beim ersten mal (beim branding) deine SW in einer VM laufen lassen.

Nicht umsonst funktionieren eigentlich alle branding-Verfahren mit der Herausgabe einer SN. Wer also deine SW kaufen will, muss eine SN erhalten. Dann könnten theoretisch mehrere Leute mit einer SN arbeiten, aber wenn deine SW das an einen Server meldet, bekommst Du zumindest eine Ahnung, wer versucht, dich zu bescheißen. Du kannst die Installation auch nur einmalig zulassen (bis die SW wieder deinstalliert wird). Und wer seinen Rechner zerschossen hat, muss sich bei dir melden.

Letztendlich kann man alles aushebeln, aber Du kannst Hürden installieren, die die Wahrscheinlichkeit herabsetzen.