実行ファイルを実行するという場合、その実行ファイルのアドレス情報を元にメモリ上に展開されます
ですんで、メモリパターンをそのまま持ってきても実行ファイルにはなりません

「EXEファイルフォーマット」でぐぐるとそこら辺の情報が引っかかると思います

ましかし、メモリ上のデータ持ってきて実行ファイルに再構築するというのはちと無謀ではないかと思われますが。

こんにちは。

やったことはありませんが、基本的には無理と思います。
多くのOSのロードモジュールは、ロード先のメモリ・アドレスがロード時に決定するため、jmp命令の飛び先などはロード時に埋められます。その埋める操作に必要な情報は、ロードされてしまったプロセスにはもう不要な情報ですから破棄されていると思います。
従って、それらの情報を回復するのは並大抵のことでは無理だろうと思います。

そんなことするより、そのモジュールのパスを入手してファイルをコピーすれば手っ取り早いと思います。恐らくフックすれば、後は簡単に取れるのではないかと思います。（フックはちょっと面倒ですが。）
GetModuleHandle
GetModuleFileName

実際上は無理（または非常に困難）と思います。

エントリーポイントから実行するケース

仮にexecutableにできたとして、それをエントリーポイントから実行開始するなら、プログラムが正常に動くために少なくともグローバルな領域が初期状態になっていないといけないです。グローバルな領域に置かれた情報がプログラムの制御にどうからむかはプログラム次第です。一般的に実行開始済みの任意のタイミングのグローバル領域の状態を退避・回復して強引にエントリーポイントからプログラムを走行させた場合、正常に動くとは期待できません。

そういうことを考えるよりはプロセスの起動元のexecutableファイルを普通に起動することを考える方が単純・明快ですね。

退避した時点の実行状態から再開させるケース

GetModuleInformationで得られる程度の情報では不足です。再開には少なくとも実行コンテキストを完全に復活できなければならないと思います。実行コンテキストの例を挙げると

• (A) スタックの状態
• (B) 当該プロセス上の全スレッドのその時点での全レジスターの値
• (C) OSがそのプロセスに割り当てている資源

オープン中のファイル、ウィンドウハンドル、スレッド等々の動的資源

• (D) 各仮想空間上のセグメント（ページ）の正確な状態

などがあります。また退避の際には当該プロセスの全スレッドをsuspend状態にしないといけません。そうでないと保存すべきコンテキストが決まりませんので。

GetModuleInformationで返るサイズが、ディスク上のファイルサイズより大きく、

例えば未初期化のグローバル領域はデータ内容が全て0と決まっているのでexecutableファイル内に一々そんなデータは格納せず「グローバル領域の大きさはBSSバイト」というようなサイズ情報しか入ってないのです。また前述した実行コンテキストの(A)や実行開始後に動的に確保する仮想空間はexecutableの中には入ってませんので内容はかなり違ったものになります。

メモリイメージをファイルに保存して実行ファイルを復元することは、極めて困難だと思います。

メモリイメージをファイルに保存するということは、実行中のある瞬間の状態を保存するということなので、再度実行するには完璧に同じ状態を再現する必要があります。単にエントリーポイントから実行させるだけでは正しく動きません。

どういうことかというと、EXEファイルを実行すると、まずOSやランタイムの初期化処理が走り、アプリを実行するための準備を整えてからmainあるいはWinMain関数に制御を移すわけですが、実行中のメモリの状態をそのままファイルに保存すると「すでに初期化済み」の状態となっているわけであり、正しく初期化されません。あるいは、例えば、アプリの処理で「あるポインタ変数がNULLなら領域を確保してそのポインタを設定する」のような処理が行われていたら、実行開始時にNULLになっておらずに領域が確保されることなく不正なポインタになってしまいます。

それらを解消するには、それこそリバースエンジニアリングして初期状態を再現させなければいけませんが、そこまでやりますか？