Я на хиасме реализовал защиту так:
Прога снимает id процессора, винчестеров, всего что только можно, генерирует из этого md5
На сервере собрал скрипт для авторизации и базу данных на mysql

Смысл такой:
Пользователю дается логин.
При первом запуске он вводит логин и свой пароль, программа отправляет логин в незашифрованном виде и md5 железа серверу, сервер смотрит: ага, логин есть, железа нет, запоминает железо и отправляет команду (мол я готов принять пароль).
Программа отправляет логин, md5железа и md5 пароля серверу, сервер смотрит- логин есть, железо есть,пароля нет, железо совпадает- принимаю пароль, запись, возврат- ok.
Пользователю приходит сообщение об успехе регистрации.

Действие 2
Пользователь вводит логин и пароль.
Программа отсылает логин и id железа, логин совпадает, железо совпадает, юзер не в бане, сервер отсылает md5 пароля.
Прога сверяет хэши, все ок, запускается.
В случае если ид железа не совпали на сервере, то идет md5 хэш команды- удалить программу с машины.

Смысл такой, что программа не запустится на других машинах, пароль md5 можно получить только на машине- регистрируемой.
К паролю и айди во время хэшированния на n количество раз прибавляются строки зависимого от условий и фиксированного текста. Что не позволяет провести обратку.
Об остальном не буду рассказывать, этой схемы в принципе хватит для отсеивания школоло-хацкеров, а от остальных спасет разве что свинцовая шкатулка